CVE-2026-2833

Nome do Software Vulnerável e Versões Afetadas Versões do Pingora anteriores a 0.8.0

Descrição Um problema de smuggling de solicitações HTTP (CWE-444) existe no tratamento de atualizações de conexão HTTP/1.1 pelo Pingora. O problema ocorre quando o proxy lê uma solicitação com um cabeçalho Upgrade e encaminha os bytes restantes da conexão para um backend antes que o backend aceite a atualização. Isso permite que um atacante envie uma carga maliciosa após uma solicitação contendo um cabeçalho Upgrade, que o backend pode interpretar como um cabeçalho de solicitação subsequente, contornando controles de segurança. Isso pode levar ao contorno de controles ACL no nível de proxy e lógica do WAF, ao envenenamento de caches e conexões upstream, e à execução de ataques cross-user por meio do sequestro de sessões ou do smuggling de solicitações. A infraestrutura de CDN da Cloudflare não foi afetada. O componente vulnerável é o tratamento do cabeçalho Upgrade em solicitações HTTP.

Recomendações Atualize para a versão 0.8.0 ou superior do Pingora. Como alternativa, retorne um erro para solicitações com o cabeçalho Upgrade presente na lógica do filtro de solicitações para interromper o processamento de bytes além do cabeçalho da solicitação e desativar o reuso de conexões downstream.