CVE-2026-42273

Nome do Software Vulnerável e Versões Afetadas Heimdall versões anteriores a 0.17.14

Descrição O Heimdall realiza a correspondência de host de maneira sensível a maiúsculas e minúsculas, o que conflita com a natureza insensível a maiúsculas e minúsculas dos nomes de host HTTP. Essa discrepância permite que um host de requisição que difira apenas na capitalização das letras falhe na correspondência de regras, potencialmente fazendo com que a requisição seja classificada de forma diferente da pretendida. Se o serviço estiver configurado com uma regra padrão permissiva — o que pode ocorrer se os padrões seguros forem desativados através das flags --insecure ou --insecure-skip-secure-default-rule-enforcement — isso pode levar a uma evasão das políticas de controle de acesso. Tal evasão pode resultar em acesso não autorizado a dados restritos, invocação de funcionalidades protegidas ou escalonamento de privilégios.

Recomendações Atualizar para a versão 0.17.14. Normalizar os hosts de requisição para letras minúsculas nas camadas anteriores ao Heimdall. Evitar a configuração de regras padrão permissivas e abster-se de usar as flags --insecure ou --insecure-skip-secure-default-rule-enforcement. Ao usar regex para correspondência de host, definir as expressões de maneira insensível a maiúsculas e minúsculas, como (?i)^admin.example.com$. Incluir o ID da regra esperada no JWT emitido pelo Heimdall e verificar esse valor no serviço do projeto consumidor.