Исправление уязвимостей в Pingora OSS от запросов на обман
В декабре 2025 года в Cloudflare сообщили об уязвимостях запросов HTTP/1.x в фреймворке Pingora при использовании его в качестве ингресс-прокси. Эти уязвимости могут позволить злоумышленнику обойти меры безопасности прокси, выполнить атаки хайджекинга и отравить кеш прокси.
Введение
В декабре 2025 года компания Cloudflare получила сообщения об уязвимостях запросов HTTP/1.x в фреймворке Pingora при использовании его в качестве ингресс-прокси. Эти уязвимости могут быть использованы для обхода мер безопасности прокси и проведения различных атак. В этой статье мы обсудим детали этих уязвимостей и то, как они были исправлены в версии Pingora 0.8.0.Подробности
Уязвимости имеют обозначения CVE-2026-2833, CVE-2026-2835 и CVE-2026-2836. Они были обнаружены исследователем Rajat Raghav (xclow3n) через программу Bug Bounty Program. Уязвимости могут быть использованы для обхода мер безопасности прокси, выполнения атак хайджекинга и отравления кеша прокси. Причиной уязвимостей является неточное толкование длин тела запроса в стеке HTTP/1 фреймворка Pingora, что позволяет проводить атаки на десинхронизацию запросов и ответов с бэкендом.Что делать
Для того, чтобы защититься от этих уязвимостей, мы рекомендуем пользователям фреймворка Pingora обновиться до версии 0.8.0 как можно скорее. Обновление содержит исправления и дополнительные меры безопасности для предотвращения подобных уязвимостей в будущем. Итог: Исправление уязвимостей в Pingora OSS имеет важное значение для обеспечения безопасности ваших приложений и данных. Обновление до версии 0.8.0 является обязательным шагом для защиты от потенциальных атак.Источник: Cloudflare Blog (Security)