CVE-2026-2835
CriticalSummary
Wykryto podatność typu HTTP Request Smuggling (CWE-444) w analizie żądań HTTP/1.0 i Transfer-Encoding w Pingora. Problem wynika z niewłaściwego zamykania ciał żądań HTTP/1.0 oraz błędnego przetwarzania wielu wartości Transfer-Encoding, co pozwala atakującym na wysyłanie złośliwych żądań, które desynchronizują ramki żądań Pingora z serwerami backendowymi.
Risk Assessment
Podatność ta dotyczy głównie samodzielnych wdrożeń Pingora przed niektórymi backendami akceptującymi żądania HTTP/1.0. Atakujący może wykorzystać tę lukę do obejścia kontroli ACL na poziomie proxy oraz logiki WAF, co prowadzi do poważnych zagrożeń dla bezpieczeństwa organizacji.
Recommendation
Zaleca się aktualizację Pingora do najnowszej wersji, aby załatać tę podatność oraz wdrożenie dodatkowych mechanizmów zabezpieczających, takich jak monitorowanie ruchu i analiza logów w celu wykrywania podejrzanych żądań.
Original NVD description (English source)
An HTTP Request Smuggling vulnerability (CWE-444) has been found in Pingora's parsing of HTTP/1.0 and Transfer-Encoding requests. The issue occurs due to improperly allowing HTTP/1.0 request bodies to be close-delimited and incorrect handling of multiple Transfer-Encoding values, allowing attackers to send HTTP/1.0 requests in a way that would desync Pingora’s request framing from backend servers’. Impact This vulnerability primarily affects standalone Pingora deployments in front of certain backends that accept HTTP/1.0 requests. An attacker could craft a malicious payload following this request that Pingora forwards to the backend in order to: * Bypass proxy-level ACL controls and WAF logic * Poison caches and upstream connections, causing subsequent requests from legitimate users to receive responses intended for smuggled requests * Perform cross-user attacks by hijacking sessions or smuggling requests that appear to originate from the trusted proxy IP Cloudf

