{"id":219972,"date":"2026-03-09T21:50:34","date_gmt":"2026-03-09T20:50:34","guid":{"rendered":"https:\/\/liora.io\/de\/pingora-http-smuggling-poisoning-albtraum"},"modified":"2026-03-09T21:50:34","modified_gmt":"2026-03-09T20:50:34","slug":"pingora-http-smuggling-poisoning-albtraum","status":"publish","type":"post","link":"https:\/\/liora.io\/de\/pingora-http-smuggling-poisoning-albtraum","title":{"rendered":"Enth\u00fcllung von Pingoras verborgenem HTTP-Smuggling und Poisoning-Albtraum!"},"content":{"rendered":"
\nSicherheitsforscher Rajat Raghav entdeckte drei kritische Schwachstellen im Open-Source-Framework Pingora, die Angreifern erm\u00f6glichen k\u00f6nnten, Benutzersitzungen zu \u00fcbernehmen und Web-Caches zu manipulieren. Die Schwachstellen wurden im M\u00e4rz 2026 offengelegt und betreffen alle selbst gehosteten Pingora-Deployments vor Version 0.8.0, wenn sie als internetoffene Proxys eingesetzt werden. Pingora hat Version 0.8.0 ver\u00f6ffentlicht, um die Schwachstellen zu beheben, w\u00e4hrend Cloudflare best\u00e4tigte, dass seine CDN-Dienste nicht betroffen waren.\n
<\/strong>\n

Die Schwachstellen, bekannt als CVE-2026-2833<\/b>, CVE-2026-2835<\/b> und CVE-2026-2836<\/b>, setzen Organisationen, die selbst gehostete Pingora-Deployments betreiben, erheblichen Sicherheitsrisiken aus, einschlie\u00dflich Umgehung von Sicherheitskontrollen, Zugangsdatendiebstahl und Web-Cache-Poisoning, laut einem Cloudflare-Blogbeitrag<\/b>.<\/p>

Der kritischste Fehler betrifft Pingoras Umgang mit HTTP-Upgrade-Anfragen. Beim Empfang von Anfragen mit einem Upgrade-Header ging das Framework vorzeitig in den Passthrough-Modus \u00fcber, bevor der Backend-Server die Protokoll\u00e4nderung akzeptierte. Dies erm\u00f6glichte Angreifern, sch\u00e4dliche Anfragen unerkannt einzuschleusen, die Pingoras Sicherheitskontrollen vollst\u00e4ndig aushebeln konnten.<\/p>

Eine zweite Schwachstelle resultierte aus der fehlerhaften Verarbeitung von HTTP\/1.0-Anfragen<\/b>, die Transfer-Encoding-Header enthalten, die gem\u00e4\u00df RFC-Standards unzul\u00e4ssig sind. Anstatt diese Anfragen abzulehnen, interpretierte Pingora die Anfragel\u00e4nge schlichtweg falsch und erzeugte so eine Diskrepanz zu konformen Backend-Servern, die f\u00fcr Request-Smuggling-Angriffe missbraucht werden konnte.<\/p>

Das dritte Problem betraf Pingoras Alpha-Phasen-Caching-Funktion, bei der Cache-Keys nur aus dem URI-Pfad generiert wurden, ohne den Host-Header oder das HTTP-Schema mit einzubeziehen. Dies bedeutete, dass ein Angreifer den Cache f\u00fcr eine Domain manipulieren und diese sch\u00e4dlichen Inhalte Nutzern ausliefern konnte, die eine v\u00f6llig andere Website besuchen.<\/p>\n\n

Cloudflare-Infrastruktur gesch\u00fctzt<\/h2>
\"Ansicht<\/figure>\n\n

Cloudflare<\/b> best\u00e4tigte, dass seine Produktions-CDN-Dienste aufgrund der Defense-in-Depth-Architektur niemals gef\u00e4hrdet waren. Das Unternehmen erl\u00e4uterte, dass Pingora nicht als prim\u00e4rer internetseitiger Proxy in seinem CDN eingesetzt wird und Upstream-Proxys den Datenverkehr normalisieren, bevor er interne Pingora-Instanzen erreicht. Zudem nutzt Cloudflare schon immer robuste, Multi-Factor-Cache-Keys anstelle der unsicheren Standardimplementierung.<\/p>

Die Schwachstellen wurden vollst\u00e4ndig in Pingora Version 0.8.0<\/b> behoben. Das Update korrigiert die Upgrade-Logik, um Betriebsmodi erst nach ordnungsgem\u00e4\u00dfer Best\u00e4tigung durch Upstream-Server zu wechseln, h\u00e4rtet den HTTP-Parser, um nicht konforme Anfragen abzulehnen, und entfernt die unsichere Standard-Cache-Key-Implementierung restlos.<\/p>

Organisationen, die selbst gehostete Pingora-Deployments betreiben, sollten umgehend auf Version 0.8.0 oder neuer<\/b> aktualisieren. Bei der Implementierung von Proxy-Caching m\u00fcssen Administratoren sicherstellen, dass Cache-Keys Ressourcen anhand aller relevanten Parameter inklusive Scheme, Host, Path und variierender Header eindeutig identifizieren.<\/p>\n

\n

\n Sources\n <\/h3>\n
    \n
  • https:\/\/blog.cloudflare.com<\/li>\n <\/ul>\n<\/div>","protected":false},"excerpt":{"rendered":"

    Der Sicherheitsforscher Rajat Raghav entdeckte drei kritische Schwachstellen im quelloffenen Pingora-Framework, die es Angreifern erm\u00f6glichen k\u00f6nnten, Benutzersitzungen zu \u00fcbernehmen und Web-Caches zu vergiften. Die Sicherheitsl\u00fccken wurden im M\u00e4rz 2026 offengelegt und betreffen alle selbst gehosteten Pingora-Installationen vor Version 0.8.0, sofern sie als \u00f6ffentlich zug\u00e4ngliche Proxies eingesetzt werden. Pingora hat Version 0.8.0 ver\u00f6ffentlicht, um die Schwachstellen zu beheben, w\u00e4hrend Cloudflare best\u00e4tigte, dass seine CDN-Dienste nicht betroffen waren.<\/p>\n","protected":false},"author":87,"featured_media":219971,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"editor_notices":[],"footnotes":""},"categories":[2475],"class_list":["post-219972","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-nachrichten"],"acf":[],"_links":{"self":[{"href":"https:\/\/liora.io\/de\/wp-json\/wp\/v2\/posts\/219972","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/liora.io\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/liora.io\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/liora.io\/de\/wp-json\/wp\/v2\/users\/87"}],"replies":[{"embeddable":true,"href":"https:\/\/liora.io\/de\/wp-json\/wp\/v2\/comments?post=219972"}],"version-history":[{"count":0,"href":"https:\/\/liora.io\/de\/wp-json\/wp\/v2\/posts\/219972\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/liora.io\/de\/wp-json\/wp\/v2\/media\/219971"}],"wp:attachment":[{"href":"https:\/\/liora.io\/de\/wp-json\/wp\/v2\/media?parent=219972"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/liora.io\/de\/wp-json\/wp\/v2\/categories?post=219972"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}