CVE-2026-6338
ŚrednieCVSS 4.9Streszczenie
Podatność CVE-2026-6338 dotyczy smugglingu żądań HTTP oraz desynchronizacji w serii Kong Gateway Enterprise 3.4, 3.10, 3.11, 3.12, 3.13 i 3.14. Problem wynika z błędu parsowania w procesie przetwarzania żądań HTTP przez Kong, gdy obsługiwany jest niezaufany ruch HTTP/1.1.
Ocena ryzyka
Organizacje mogą być narażone na ataki, które wykorzystują tę podatność do przejęcia kontroli nad sesjami użytkowników lub manipulacji danymi. Może to prowadzić do poważnych naruszeń bezpieczeństwa i utraty zaufania klientów.
Rekomendacja
Zaleca się aktualizację do najnowszej wersji Kong Gateway Enterprise, aby usunąć tę podatność. Dodatkowo, warto wdrożyć mechanizmy monitorowania ruchu HTTP w celu wykrywania potencjalnych ataków.
Oryginalny opis (angielski, źródło NVD)
A HTTP request smuggling and desynchronization vulnerability affects Kong Gateway Enterprise 3.4, 3.10, 3.11, 3.12, 3.13, and 3.14 series. The vulnerability is caused by a parsing flaw in Kong’s HTTP request processing pipeline when handling untrusted HTTP/1.1 traffic.

