Akamai übernimmt LayerX und bietet durchgängige Sicherheit sowie Echtzeit-Kontrolle der KI-Nutzung in jedem Browser. Weitere Informationen

CVE-2025-54142: HTTP-Request-Smuggling über OPTIONS mit Body

Akamai Wave Blue

Aug 28, 2025

Akamai InfoSec

Akamai Wave Blue

Verfasser

Akamai InfoSec

Teilen

Akamai hat eine potenzielle Schwachstelle (CVE-2025-54142) für HTTP-Anfragen beseitigt, die eine Besonderheit in der Verarbeitung von OPTIONS-Anfragen mit Request-Bodys bei manchen Ursprungsservern ausnutzte.

Die in RFC 9110 beschriebene Methode für HTTP-Options-Anfragen kann von einem Client verwendet werden, um die zulässigen Optionen für eine bestimmte URL auf dem Server zu bestimmen. In erste Linie soll damit im Kontext des Cross-Origin Resource Sharing (CORS) einem Browser der idempotente „Preflight“ der Anforderung ermöglicht werden, bevor die tatsächliche Anfrage ausgegeben wird.

Obwohl dies in der Praxis ungewöhnlich ist, kann die OPTIONS-Methode von einem Entitätskörper begleitet sein, obwohl nach RFC 9110 keine gültigen Anwendungsfälle für solche Anfragen bekannt sind und kein bekannter Browser oder Mobilclient solche Anfragen ausgeben würde.

Details

Bestimmte nicht RFC-konforme Ursprungs-Stacks verarbeiten den Anfrage-Body nicht ordnungsgemäß, wenn er von den Akamai-Proxyservern an sie weitergeleitet wird. Dies kann dazu führen, dass die Payload in der dauerhaften Verbindung zwischen Proxy und Ursprungsserver verbleibt.

Nachfolgende reguläre HTTP-Anfrage an denselben Ursprung könnten dann erweitert werden und den Ursprungsserver veranlassen, die geschmuggelte Anfrage zu interpretieren.

Dies bot Angreifern je nach Konfiguration des Ursprungsservers die Gelegenheit für Cache Poisoning oder andere sicherheitsbezogene Bedrohungen.

Abwehr

Zusätzlich zur WAF Rapid Rule, die wir am 21. Juli 2025 zum Schutz vor diesem speziellen Request-Smuggling-Vektor implementiert haben, konnten wir eine separate plattformweite Änderung implementieren, um diesen und ähnliche Angriffsvektoren zu abzuwehren, indem die Verbindung zu einem Ursprung und Client für jegliche OPTIONS-Anfragen mit Body beendet wird. Diese Änderung wurde zum 11. August 2025 vollständig umgesetzt.

Akamai Wave Blue

Aug 28, 2025

Akamai InfoSec

Akamai Wave Blue

Verfasser

Akamai InfoSec

Tags

Teilen

Verwandte Blogbeiträge

Sicherheitsforschung
Xurum: Neue Magento-Kampagne entdeckt
Forscher von Akamai haben eine ausgeklügelte neue Magento-Bedrohung entdeckt und analysiert. Sie bekam den Namen Xurum. Details der Angriffe und unsere Erkenntnisse finden Sie in diesem Blogbeitrag.
Sicherheitsforschung
Was kratzt da so? Wie Web-Scraper-Bots die Rentabilität im E-Commerce untergraben
June 25, 2024
Im SOTI-Bericht über E-Commerce werden die wirtschaftlichen Folgen, die Herausforderungen bei der Erkennung und die Raffinesse von Web Scraper-Bots erklärt.
Cybersicherheit
Das L in Linux steht für laterale Netzwerkbewegung
June 28, 2023
Laterale Netzwerkbewegung betrifft nicht nur Windows-Systeme. Damit Sie sich schützen können, wollen wir uns die Protokolle in Linux ansehen, die für laterale Netzwerkbewegungen verwendet werden können.