Akamai eliminó una posible vulnerabilidad de contrabando de solicitudes HTTP (CVE-2025-54142) derivada de la forma en que algunos servidores de origen gestionan las solicitudes de OPCIONES que incluyen un cuerpo de solicitud.
Un cliente puede utilizar el método de solicitud de OPCIONES HTTP descrito en RFC 9110 para determinar las opciones permitidas para una dirección URL determinada en el servidor. Su uso principal se encuentra dentro del contexto de un intercambio de recursos de origen cruzado (CORS) para permitir que un navegador realice una comprobación preliminar de la solicitud de manera idempotente antes de emitir la solicitud real.
Aunque es inusual en la práctica, el método OPCIONES puede ir acompañado de un cuerpo de entidad, aunque, según RFC 9110, no haya casos de uso válidos conocidos para dichas solicitudes y ningún navegador o cliente móvil conocido normalmente emitiría solicitudes de este tipo.
Información detallada
Algunos conjuntos de origen no conformes con RFC no consumen correctamente el cuerpo de la solicitud cuando se les envía a través de los servidores proxy de Akamai, lo que podría llevar a que la carga permanezca en la conexión persistente entre un proxy y un servidor de origen.
Una solicitud HTTP regular posterior al mismo origen podría entonces ser anexada y activar el origen para interpretar la solicitud de contrabando.
Esta situación ofrecía al atacante una ventana de oportunidad para el envenenamiento de caché u otras amenazas relacionadas con la seguridad, en función de la configuración del servidor de origen.
Mitigación
Además de la regla rápida de WAF que implementamos el 21 de julio de 2025 como protección contra este vector específico de contrabando de solicitudes, hemos implementado un cambio por separado en toda la plataforma que elimina este y otros vectores de ataque similares al finalizar la conexión con un origen y un cliente para cualquier solicitud de OPCIONES con un cuerpo. Este cambio se implementó completamente el 11 de agosto de 2025.
Etiquetas
