Cloudflare 2 de diciembre de 2025

Múltiples vulnerabilidades de HTTP/1.x Request Smuggling y Cache Poisoning en Pingora (CVE-2026-2833, CVE-2026-2835, CVE-2026-2836)

configuration-drift

causa raíz

Timeline del incidente

2025-12-02 · Rajat Raghav (xclow3n)

Reporte de vulnerabilidad de smuggling basada en 'Upgrade' vía programa de Bug Bounty.

2026-01-13 · Rajat Raghav (xclow3n)

Reporte de problemas de parsing de 'Transfer-Encoding' / HTTP/1.0.

2026-01-18 · Rajat Raghav (xclow3n)

Reporte de problema de construcción de clave de caché por defecto.

2026-01-29 · Equipo de ingeniería de Cloudflare

Inicio de validación de fixes con el reportero.

2026-02-13 · Equipo de ingeniería de Cloudflare

Fin de validación de fixes con el reportero. Continuación del trabajo en más checks de cumplimiento de RFC.

2026-02-25 · Equipo de ingeniería de Cloudflare

Validación de la eliminación del default de clave de caché y checks RFC adicionales con el investigador.

2026-03-02 · Equipo de ingeniería de Cloudflare

Lanzamiento de Pingora 0.8.0 con los parches.

2026-03-04 · Cloudflare

Publicación de los avisos CVE.

Análisis técnico

Este incidente describe múltiples vulnerabilidades de seguridad en el framework Pingora, específicamente relacionadas con HTTP/1.x request smuggling y cache poisoning. La causa raíz principal fue una interpretación no estándar o excesivamente laxa de las especificaciones del RFC HTTP/1.1 por parte de Pingora, diseñada para acomodar tráfico de 'Internet salvaje' y stacks HTTP legados. Esta flexibilidad, aunque útil para la CDN de Cloudflare, introdujo ambigüedades en el parsing de solicitudes que podían ser explotadas en despliegues de Pingora como proxy de entrada.

Las vulnerabilidades se manifestaron de tres formas principales: 1) Manejo incorrecto del encabezado 'Upgrade' sin la confirmación '101 Switching Protocols' del backend, permitiendo el pipelining de solicitudes y el bypass de controles de seguridad. 2) Fallos en el parsing de 'Transfer-Encoding' y 'Content-Length' en solicitudes HTTP/1.0, llevando a desincronización entre Pingora y el backend sobre los límites del cuerpo de la solicitud. Esto incluía la interpretación de cuerpos de solicitud como 'close-delimited', lo cual no está permitido para solicitudes. 3) Una implementación por defecto ingenua para la construcción de claves de caché que solo consideraba la ruta URI, permitiendo la colisión y el envenenamiento de caché entre diferentes hosts.

Las salvaguardas fallaron porque la lógica de parsing de Pingora, aunque robusta para el uso interno de Cloudflare (donde otros proxies upstream ya normalizan el tráfico o se aplican configuraciones específicas), no era lo suficientemente estricta por defecto para un uso general como proxy de entrada expuesto a Internet. La tolerancia a tráfico no conforme al RFC, sin las validaciones adecuadas, creó un vector de ataque. La CDN de Cloudflare no se vio afectada directamente debido a su arquitectura interna y a que Pingora no se usa como proxy de entrada en ese contexto, además de que los proxies de la CDN ya aplicaban normalizaciones y rechazos de tráfico ambiguo antes de llegar a los servicios Pingora internos.

Remediaciones y action items

✓ Pingora fue parchado para cambiar la interpretación de bytes subsiguientes solo después de que el upstream responda con '101 Switching Protocols' para el encabezado 'Upgrade'.
✓ Se corrigió el parsing de múltiples encabezados 'Transfer-Encoding' y se adhirió estrictamente a las guías de longitud de solicitud, asegurando que los cuerpos de solicitud HTTP nunca puedan ser considerados 'close-delimited'.
✓ Se implementó el rechazo de mensajes de solicitud 'Content-Length' inválidos y 'HTTP/1.0 + Transfer-Encoding'.
✓ Se añadió la protección de rechazar solicitudes CONNECT por defecto, ya que tienen reglas especiales de framing de mensajes.
✓ Se eliminó la implementación por defecto de 'CacheKey', requiriendo que los usuarios construyan explícitamente sus claves de caché, considerando todos los factores relevantes (esquema HTTP, host, URI, etc.).
✓ Se recomienda a todos los usuarios de Pingora como proxy actualizar a la versión 0.8.0 o superior.

Lecciones para arquitectos

→ La flexibilidad en el parsing de protocolos debe ser cuidadosamente balanceada con la estricta adherencia a los RFCs para evitar vulnerabilidades de seguridad.
→ Los proxies y balanceadores de carga deben implementar un parsing estricto de HTTP para prevenir ataques de desincronización entre el proxy y el backend.
→ Las implementaciones por defecto, especialmente en componentes de seguridad o infraestructura crítica, deben ser seguras por diseño ('secure by default').
→ La construcción de claves de caché debe ser explícita y considerar todos los factores que definen la unicidad de un recurso para prevenir el envenenamiento de caché.
→ La arquitectura de un sistema distribuido puede mitigar vulnerabilidades en componentes individuales si existen capas de validación y normalización previas.

¿Te ha gustado este análisis? Recibe los 5 mejores de la semana →

Suscribirme al digest

compartir: X / Twitter LinkedIn WhatsApp