CVE-2026-27588

Nome do Software Vulnerável e Versões Afetadas Versões do Caddy anteriores a 2.11.1

Descrição O matcher de solicitações HTTP host do Caddy é documentado como insensível a maiúsculas e minúsculas, mas torna-se sensível a maiúsculas e minúsculas quando configurado com uma lista de hosts grande (mais de 100 entradas) devido a um caminho de correspondência otimizado. Um invasor pode contornar o roteamento baseado em host e quaisquer controles de acesso associados a essa rota alterando a capitalização do cabeçalho Host. Este é um contorno de rota/autenticação na camada de correspondência de solicitações do Caddy. Implantações do Caddy expostas à internet que dependem de matchers host com listas grandes de hosts para proteger rotas podem ser contornadas ao alterar a capitalização do cabeçalho Host, possivelmente permitindo acesso não autorizado a endpoints sensíveis. O componente afetado é o matcher MatchHost, especificamente a função MatchHost.MatchWithError. A vulnerabilidade ocorre porque o matcher utiliza uma comparação de strings sensível a maiúsculas e minúsculas quando a lista de hosts excede 100 entradas. O cabeçalho Host é um cabeçalho de solicitação HTTP padrão usado para identificar o recurso solicitado.

Recomendações Atualize para a versão 2.11.1 do Caddy ou posterior.