CVE-2026-2836

Nome do Software Vulnerável e Versões Afetadas Versões do Pingora anteriores a 0.8.0

Descrição Existe um problema de envenenamento de cache na construção padrão da chave de cache do framework de proxy HTTP Pingora. A implementação padrão da chave de cache HTTP gera chaves utilizando apenas o caminho da URI, excluindo o cabeçalho Host, o que pode levar ao envenenamento de cache e à entrega de respostas de origem cruzada aos usuários. Isso poderia permitir que um atacante realize vazamento de dados entre inquilinos em implantações multi-inquilino ou sirva conteúdo malicioso a usuários legítimos ao envenenar entradas de cache compartilhadas.

Recomendações Atualize para a versão 0.8.0 ou superior do Pingora, que remove a implementação insegura da chave de cache padrão. Os usuários devem implementar seu próprio callback que inclua fatores apropriados, como o cabeçalho Host e o esquema HTTP do peer upstream. Se não for possível atualizar, remova qualquer uso padrão de CacheKey e implemente uma solução personalizada que inclua o cabeçalho Host e o esquema HTTP do peer upstream.