Akamai übernimmt LayerX und bietet durchgängige Sicherheit sowie Echtzeit-Kontrolle der KI-Nutzung in jedem Browser. Weitere Informationen

CVE-2026-26365: Falsche Verarbeitung von „Verbindung: Transfer-Encoding“

Akamai Wave Blue

Feb 20, 2026

Akamai InfoSec

Akamai Wave Blue

Verfasser

Akamai InfoSec

Teilen

Am 6. Februar 2026 hat Akamai einen potenziellen HTTP-Request-Schmuggel-Vektor aufgrund eines Fehlers bei der Verarbeitung nutzerdefinierter Hop-by-Hop-HTTP-Header eliminiert.

Hintergrund

HTTP definiert eine Gruppe von Hop-by-Hop-Headern, die nur vom ersten Proxy verarbeitet werden sollen, der sie empfängt und dann sofort aus der Anfrage entfernt werden. Sie sollen also nie an den nächsten Server weitergeleitet werden. 

Zusätzlich zu den im HTTP-Standard angegebenen Hop-by-Hop-Headern können Clients ihre eigenen nutzerdefinierten Hop-by-Hop-Header definieren, indem sie diese Headernamen im Header „Connection“ (Verbindung) auflisten. Beispiel: „Connection: My-Custom-Hop-By-Hop-Header.“

Schwachstellendetails

Edge-Server von Akamai enthielten einen Bug aufgrund einer unsachgemäßen Verarbeitung von Anfragen, bei denen „Transfer-Encoding“ als nutzerdefinierter Hop-by-Hop-Header angegeben wurde. Insbesondere könnte ein Angreifer eine schädliche Anfrage erstellen, einschließlich des Headers „Connection: Transfer-Encoding“, was zu einer Weiterleitungsanfrage führen würde, die ein unzulässiges Message-Framing enthielt, was möglicherweise zu einem HTTP-Angriff zum Schmuggeln von Anfragen führen würde.

Ob diese Schwachstelle in der Praxis ausgenutzt werden konnte, war abhängig vom internen Akamai-Verarbeitungspfad, der für die Bereitstellung der jeweiligen Anfrage ausgewählt wurde, sowie vom Verhalten des Ursprungsservers beim Empfang einer solchen Anfrage.

Abwehr

Am 30. Dezember 2025 wurde Akamai auf das Problem aufmerksam und begann sofort eine Untersuchung. Am 6. Februar 2026 wurde eine umfassende Korrekturmaßnahme umgesetzt, die die Schwachstelle aus allen Akamai-Diensten vollständig entfernte. Es sind keine Abhilfemaßnahmen seitens der Kunden erforderlich.

Im Rahmen unserer regelmäßigen Vorfallsreaktion und Schwachstellenanalyse haben wir dieses Problem über CVE-2026-26365 gemeldet.

Besonderen Dank

Wir danken „Jake Murphy vom Mandiant-Team von Google Cloud“ für die Meldung dieses Problems durch das Bug-Bounty-Programm von Akamai und die Koordination mit uns während unserer gesamten Untersuchung.

Akamai Wave Blue

Feb 20, 2026

Akamai InfoSec

Akamai Wave Blue

Verfasser

Akamai InfoSec

Tags

Teilen

Verwandte Blogbeiträge

Forschung
Shai-Hulud im Miniaturformat: Der Wurm kehrt zurück und wird öffentlich verfügbar
Erfahren Sie mehr über den Shai-Hulud-Angriff auf die Lieferkette im Jahr 2026: Erfahren Sie, wie sich TeamPCP CI-Cache Poisoning und OIDC-Missbrauch innerhalb der schädlichen Payload zunutze macht.
Sicherheitsforschung
CVE-2025-29635: Mirai-Kampagne zielt auf D-Link-Geräte ab
April 21, 2026
Lesen Sie mehr über die aktiven Ausnutzungsversuche der Sicherheitslücke CVE-2025-29635, die vom Akamai SIRT entdeckt wurde.
Cybersicherheit
CVE-2026-31979: Die Symlink-Falle – Eskalation von Root-Berechtigungen in Himmelblau
Eine Sicherheitslücke mit hohem Schweregrad (CVE-2026-31979) wirkt sich auf bestimmte Bereitstellungen von Himmelblau aus. Sofortige Maßnahmen werden empfohlen.