Sicherheitsforscher Rajat Raghav entdeckte drei kritische Schwachstellen im Open-Source-Framework Pingora, die Angreifern ermöglichen könnten, Benutzersitzungen zu übernehmen und Web-Caches zu manipulieren. Die Schwachstellen wurden im März 2026 offengelegt und betreffen alle selbst gehosteten Pingora-Deployments vor Version 0.8.0, wenn sie als internetoffene Proxys eingesetzt werden. Pingora hat Version 0.8.0 veröffentlicht, um die Schwachstellen zu beheben, während Cloudflare bestätigte, dass seine CDN-Dienste nicht betroffen waren.
Die Schwachstellen, bekannt als CVE-2026-2833, CVE-2026-2835 und CVE-2026-2836, setzen Organisationen, die selbst gehostete Pingora-Deployments betreiben, erheblichen Sicherheitsrisiken aus, einschließlich Umgehung von Sicherheitskontrollen, Zugangsdatendiebstahl und Web-Cache-Poisoning, laut einem Cloudflare-Blogbeitrag.
Der kritischste Fehler betrifft Pingoras Umgang mit HTTP-Upgrade-Anfragen. Beim Empfang von Anfragen mit einem Upgrade-Header ging das Framework vorzeitig in den Passthrough-Modus über, bevor der Backend-Server die Protokolländerung akzeptierte. Dies ermöglichte Angreifern, schädliche Anfragen unerkannt einzuschleusen, die Pingoras Sicherheitskontrollen vollständig aushebeln konnten.
Eine zweite Schwachstelle resultierte aus der fehlerhaften Verarbeitung von HTTP/1.0-Anfragen, die Transfer-Encoding-Header enthalten, die gemäß RFC-Standards unzulässig sind. Anstatt diese Anfragen abzulehnen, interpretierte Pingora die Anfragelänge schlichtweg falsch und erzeugte so eine Diskrepanz zu konformen Backend-Servern, die für Request-Smuggling-Angriffe missbraucht werden konnte.
Das dritte Problem betraf Pingoras Alpha-Phasen-Caching-Funktion, bei der Cache-Keys nur aus dem URI-Pfad generiert wurden, ohne den Host-Header oder das HTTP-Schema mit einzubeziehen. Dies bedeutete, dass ein Angreifer den Cache für eine Domain manipulieren und diese schädlichen Inhalte Nutzern ausliefern konnte, die eine völlig andere Website besuchen.
Cloudflare-Infrastruktur geschützt
Cloudflare bestätigte, dass seine Produktions-CDN-Dienste aufgrund der Defense-in-Depth-Architektur niemals gefährdet waren. Das Unternehmen erläuterte, dass Pingora nicht als primärer internetseitiger Proxy in seinem CDN eingesetzt wird und Upstream-Proxys den Datenverkehr normalisieren, bevor er interne Pingora-Instanzen erreicht. Zudem nutzt Cloudflare schon immer robuste, Multi-Factor-Cache-Keys anstelle der unsicheren Standardimplementierung.
Die Schwachstellen wurden vollständig in Pingora Version 0.8.0 behoben. Das Update korrigiert die Upgrade-Logik, um Betriebsmodi erst nach ordnungsgemäßer Bestätigung durch Upstream-Server zu wechseln, härtet den HTTP-Parser, um nicht konforme Anfragen abzulehnen, und entfernt die unsichere Standard-Cache-Key-Implementierung restlos.
Organisationen, die selbst gehostete Pingora-Deployments betreiben, sollten umgehend auf Version 0.8.0 oder neuer aktualisieren. Bei der Implementierung von Proxy-Caching müssen Administratoren sicherstellen, dass Cache-Keys Ressourcen anhand aller relevanten Parameter inklusive Scheme, Host, Path und variierender Header eindeutig identifizieren.
Sources
- https://blog.cloudflare.com
