CVE-2026-2833
KrytyczneStreszczenie
Wykryto podatność na oszustwa w żądaniach HTTP (CWE-444) w obsłudze aktualizacji połączeń HTTP/1.1 przez Pingora. Problem występuje, gdy proxy Pingora odczytuje żądanie zawierające nagłówek Upgrade, co pozwala na przesłanie złośliwego ładunku do backendu przed zaakceptowaniem aktualizacji.
Ocena ryzyka
Podatność ta szczególnie dotyczy samodzielnych wdrożeń Pingora, gdzie proxy jest narażone na ruch zewnętrzny. Atakujący może wykorzystać tę lukę do obejścia kontroli ACL na poziomie proxy oraz logiki WAF, co prowadzi do poważnych zagrożeń dla bezpieczeństwa sesji użytkowników.
Rekomendacja
Zaleca się ograniczenie dostępu do proxy Pingora oraz wdrożenie dodatkowych zabezpieczeń, aby zminimalizować ryzyko oszustw w żądaniach HTTP i ataków między użytkownikami.
Oryginalny opis (angielski, źródło NVD)
An HTTP request smuggling vulnerability (CWE-444) was found in Pingora's handling of HTTP/1.1 connection upgrades. The issue occurs when a Pingora proxy reads a request containing an Upgrade header, causing the proxy to pass through the rest of the bytes on the connection to a backend before the backend has accepted the upgrade. An attacker can thus directly forward a malicious payload after a request with an Upgrade header to that backend in a way that may be interpreted as a subsequent request header, bypassing proxy-level security controls and enabling cross-user session hijacking. Impact This vulnerability primarily affects standalone Pingora deployments where a Pingora proxy is exposed to external traffic. An attacker could exploit this to: * Bypass proxy-level ACL controls and WAF logic * Poison caches and upstream connections, causing subsequent requests from legitimate users to receive responses intended for smuggled requests * Perform cross-user attacks by

