A Cloudflare lançou a versão 0.8.0 do framework open-source Pingora para corrigir três vulnerabilidades críticas: CVE-2026-2833, CVE-2026-2835 e CVE-2026-2836. As falhas permitem ataques de request smuggling e cache poisoning em implantações do Pingora expostas diretamente à internet.
Descoberta e escopo
As vulnerabilidades, descobertas pelo pesquisador Rajat Raghav, permitem que atacantes contornem ACLs de proxy e WAFs, sequestrem sessões de usuários e envenenem conexões upstream. A Cloudflare confirmou que sua própria CDN e tráfego de clientes não foram afetados, pois o Pingora não é usado como proxy de entrada exposto.
Vetor e exploração
O CVE-2026-2833 envolve upgrades prematuros de conexão, enquanto o CVE-2026-2835 trata de falhas na análise de HTTP/1.0. O CVE-2026-2836 é uma falha de design na construção de chaves de cache padrão, ignorando cabeçalhos de host.
Recomendações
Organizações usando Pingora devem atualizar imediatamente para a versão 0.8.0. Se a atualização não for possível, recomenda-se configurar filtros de requisição para rejeitar cabeçalhos 'Upgrade' e validar cabeçalhos de host nas chaves de cache.