原文

PingoraのHTTP/1.1接続アップグレード処理にHTTPリクエストスマグリングの脆弱性（CWE-444）が発見されました。この問題は、PingoraプロキシがUpgradeヘッダーを含むリクエストを読み取る際に発生し、バックエンドがアップグレードを受け入れる前に接続上の残りのバイトをバックエンドに透過的に渡してしまうことが原因です。これにより、攻撃者はUpgradeヘッダー付きリクエストの後に悪意のあるペイロードを直接バックエンドに転送し、それが後続のリクエストヘッダーとして解釈される可能性があり、プロキシレベルのセキュリティ制御を回避してクロスユーザーセッションのハイジャックを可能にします。影響として、この脆弱性は主に外部トラフィックにさらされた単独のPingoraプロキシ展開に影響を及ぼします。攻撃者はこれを悪用して、* プロキシレベルのACL制御およびWAFロジックを回避し、* キャッシュおよび上流接続を汚染して正規ユーザーの後続リクエストがスマグリングされたリクエスト向けのレスポンスを受け取るようにし、* 信頼されたプロキシIPから発信されたように見えるリクエストのスマグリングやセッションハイジャックによるクロスユーザー攻撃を実行します。CloudflareのCDNインフラはこの脆弱性の影響を受けませんでした。CDNスタック内のイングレスプロキシは適切なHTTPパース境界を維持し、アップグレード接続の転送モードに早期に切り替えています。緩和策として、PingoraユーザーはPingora v0.8.0以上にアップグレードすべきです。ワークアラウンドとしては、アップグレードヘッダーを含むリクエストを検出した場合にリクエストフィルターでエラーを返し、リクエストヘッダー以降のバイト処理を停止し、下流接続の再利用を無効化することを推奨します。