CVE-2026-52845
WysokieCVSS 8.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 16 — wyżej niż 16% wszystkich znanych CVE
Streszczenie
Caddy przed wersją 2.11.4 zawiera podatność w mechanizmie forward_auth copy_headers, która pozwala zdalnemu klientowi na ominięcie usuwania nagłówków tożsamości i wstrzyknięcie własnych nagłówków do aplikacji PHP/FastCGI. Dzieje się tak, ponieważ Caddy normalizuje nagłówki HTTP do zmiennych CGI, zamieniając myślniki na podkreślenia, co umożliwia atakującemu użycie aliasu z podkreśleniem.
Ocena ryzyka
Organizacja narażona jest na ryzyko podszycia się pod autoryzowanego użytkownika lub eskalacji uprawnień w aplikacjach PHP/FastCGI, co może prowadzić do nieautoryzowanego dostępu do danych lub funkcji administracyjnych.
Rekomendacja
Należy niezwłocznie zaktualizować Caddy do wersji 2.11.4 lub nowszej, która zawiera poprawkę eliminującą tę podatność.
Oryginalny opis (angielski, źródło NVD)
Caddy is an extensible server platform that uses TLS by default. Prior to 2.11.4, forward_auth copy_headers deletes the exact client-supplied identity header before copying the trusted value from the auth gateway. But when the request later goes through php_fastcgi, Caddy normalizes HTTP headers into CGI variables by replacing - with _. This lets a client send an underscore alias that survives the forward_auth delete step but becomes the same PHP/FastCGI variable. Result: a remote client can inject or sometimes override identity/group headers trusted by PHP/FastCGI applications behind Caddy. This vulnerability is fixed in 2.11.4.

