CVE-2026-2835

Nome do Software Vulnerável e Versões Afetadas Versões do Pingora anteriores a 0.8.0

Descrição Uma vulnerabilidade de Smuggling de Solicitações HTTP existe devido à análise inadequada de solicitações HTTP/1.0 e solicitações com Transfer-Encoding. O problema surge ao permitir que os corpos de solicitações HTTP/1.0 sejam delimitados por "close" e ao tratamento incorreto de múltiplos valores de Transfer-Encoding, o que pode dessincronizar a estruturação de solicitações entre o Pingora e os servidores de backend. Isso poderia permitir que atacantes contornassem listas de controle de acesso em nível de proxy e lógica de firewall de aplicação web, envenenem caches e conexões upstream, e realizassem ataques entre usuários por meio do sequestro de sessões ou do smuggling de solicitações. A infraestrutura CDN da Cloudflare não foi afetada. Os endpoints da API não são explicitamente mencionados. Os parâmetros ou variáveis vulneráveis não são explicitamente mencionados. As funções vulneráveis não são explicitamente mencionadas.

Recomendações Atualize para a versão 0.8.0 do Pingora ou superior. Como medida alternativa, rejeite solicitações não HTTP/1.1, solicitações com Content-Length inválido, solicitações com múltiplos cabeçalhos Transfer-Encoding ou solicitações com um cabeçalho Transfer-Encoding que não seja exatamente "chunked".