概要
Cloudflare の Pingora に HTTP/1.0 リクエスト と Transfer-Encoding ヘッダ の 処理 に 起因 する HTTP Request Smuggling 脆弱性 が 発見 されました。HTTP/1.0 の リクエスト ボディ を close-delimited として 不適切 に 許可 し、複数 の Transfer-Encoding 値 の 処理 にも 問題 が あります。
攻撃者 は HTTP/1.0 リクエスト を 送信 する こと で Pingora と バックエンド サーバー 間 の リクエスト フレーミング を 非同期 に し、ACL バイパス、キャッシュ ポイズニング、クロス ユーザー 攻撃 を 実行 できます。
技術的 な 背景
HTTP/1.0 と HTTP/1.1 では メッセージ ボディ の 長さ 決定 方法 が 異なります。HTTP/1.0 では close-delimited(接続 を 閉じる まで が ボディ)が 許可 される 場合 が ありますが、HTTP/1.1 の リクエスト では Content-Length または Transfer-Encoding: chunked で 長さ を 明示 する 必要 が あります。
Pingora は HTTP/1.0 リクエスト の ボディ を close-delimited として 不適切 に 許可 して おり、また 複数 の Transfer-Encoding 値 の 処理 にも 問題 が ありました。これ により、Pingora が 認識 する リクエスト の 境界 と バックエンド が 認識 する 境界 が ずれ、Request Smuggling が 成立 します。
想定 される 影響
CVE-2026-2833 と 同様 に、ACL バイパス、キャッシュ ポイズニング、セッション ハイジャック が 可能 です。HTTP/1.0 リクエスト を 受け付ける バックエンド が ある 環境 で 特に 影響 が 大きく なります。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 9.1 (Critical) |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な特権レベル | なし |
| ユーザ関与 | なし |
| CWE | CWE-444 (HTTP Request Smuggling) |
影響 を 受ける ソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| Pingora | Cloudflare | v0.8.0 未満 |
修正 バージョン と 回避策
- Pingora v0.8.0 以降 に アップグレード して ください。v0.8.0 では RFC 9112 に 準拠 した メッセージ 長 ヘッダ の パース が 実装 されています
- 回避策: リクエスト フィルタ で 非 HTTP/1.1 リクエスト、不正 な Content-Length、複数 の Transfer-Encoding ヘッダ、"chunked" 以外 の Transfer-Encoding を 拒否 する
- CVE-2026-2833 および CVE-2026-2836 と 併せて v0.8.0 へ の アップグレード で 一括 対応 できます
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。