Akamai hat eine potenzielle Schwachstelle (CVE-2025-54142) für HTTP-Anfragen beseitigt, die eine Besonderheit in der Verarbeitung von OPTIONS-Anfragen mit Request-Bodys bei manchen Ursprungsservern ausnutzte.
Die in RFC 9110 beschriebene Methode für HTTP-Options-Anfragen kann von einem Client verwendet werden, um die zulässigen Optionen für eine bestimmte URL auf dem Server zu bestimmen. In erste Linie soll damit im Kontext des Cross-Origin Resource Sharing (CORS) einem Browser der idempotente „Preflight“ der Anforderung ermöglicht werden, bevor die tatsächliche Anfrage ausgegeben wird.
Obwohl dies in der Praxis ungewöhnlich ist, kann die OPTIONS-Methode von einem Entitätskörper begleitet sein, obwohl nach RFC 9110 keine gültigen Anwendungsfälle für solche Anfragen bekannt sind und kein bekannter Browser oder Mobilclient solche Anfragen ausgeben würde.
Details
Bestimmte nicht RFC-konforme Ursprungs-Stacks verarbeiten den Anfrage-Body nicht ordnungsgemäß, wenn er von den Akamai-Proxyservern an sie weitergeleitet wird. Dies kann dazu führen, dass die Payload in der dauerhaften Verbindung zwischen Proxy und Ursprungsserver verbleibt.
Nachfolgende reguläre HTTP-Anfrage an denselben Ursprung könnten dann erweitert werden und den Ursprungsserver veranlassen, die geschmuggelte Anfrage zu interpretieren.
Dies bot Angreifern je nach Konfiguration des Ursprungsservers die Gelegenheit für Cache Poisoning oder andere sicherheitsbezogene Bedrohungen.
Abwehr
Zusätzlich zur WAF Rapid Rule, die wir am 21. Juli 2025 zum Schutz vor diesem speziellen Request-Smuggling-Vektor implementiert haben, konnten wir eine separate plattformweite Änderung implementieren, um diesen und ähnliche Angriffsvektoren zu abzuwehren, indem die Verbindung zu einem Ursprung und Client für jegliche OPTIONS-Anfragen mit Body beendet wird. Diese Änderung wurde zum 11. August 2025 vollständig umgesetzt.
Tags
