CVE-2026-45135
WysokieCVSS 8.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 32 — wyżej niż 32% wszystkich znanych CVE
Streszczenie
Caddy w wersjach od 2.7.0 do 2.11.3 zawiera podatność w mechanizmie FastCGI, która pozwala atakującemu na błędne rozpoznanie pliku niebędącego skryptem PHP jako skryptu. Problem wynika z nieprawidłowego użycia funkcji wyszukiwania ignorującej wielkość liter w przypadku ścieżek zawierających znaki spoza ASCII. W środowiskach, gdzie atakujący może umieścić plik w lokalizacji obsługiwanej przez FastCGI (np. uploady, magazyny plików), podatność może prowadzić do zdalnego wykonania kodu.
Ocena ryzyka
Ryzyko dla organizacji obejmuje możliwość zdalnego wykonania kodu na serwerze, co może skutkować przejęciem kontroli nad aplikacją, wyciekiem danych lub dalszym atakiem na infrastrukturę.
Rekomendacja
Należy niezwłocznie zaktualizować Caddy do wersji 2.11.3 lub nowszej, która zawiera poprawkę eliminującą podatność.
Oryginalny opis (angielski, źródło NVD)
Caddy is an extensible server platform that uses TLS by default. From 2.7.0 until 2.11.3, the FastCGI transport's splitPos() in modules/caddyhttp/reverseproxy/fastcgi/fastcgi.go misuses golang.org/x/text/search with search.IgnoreCase when the request path contains a non-ASCII byte. Two distinct flaws in that fallback let an attacker mislead Caddy's FastCGI splitting into treating a non-.php (or other configured split_path extension) file as a script. In any deployment where the attacker can place content into a file served via FastCGI (uploads, file storage, etc.), this can be escalated to remote code execution by crafting a URL whose path triggers either flaw. This vulnerability is fixed in 2.11.3.

