CVE-2026-26365: procesamiento incorrecto de "Conexión: codificación de transferencia"

El 6 de febrero de 2026, Akamai eliminó un posible vector de contrabando de solicitudes HTTP debido a un error en el procesamiento de encabezados HTTP personalizados de salto a salto.

HTTP define un conjunto de encabezados de salto a salto destinados a ser procesados únicamente por el primer proxy que los recibe y, a continuación, a ser eliminados inmediatamente de la solicitud, y nunca reenviados al siguiente servidor. 

Además de los encabezados de salto a salto especificados en el estándar HTTP, los clientes pueden definir sus propios encabezados de salto a salto personalizados enumerando estos nombres de encabezado en el encabezado "Conexión"; por ejemplo, "Conexión: mi encabezado de salto a salto personalizado".

Los servidores en el Edge de Akamai contenían un error debido al procesamiento inadecuado de las solicitudes que especificaban "Codificación de transferencia" como encabezado de salto a salto personalizado. En concreto, un atacante podría crear una solicitud maliciosa que incluyera el encabezado "Conexión: codificación de transferencia", que daría como resultado una solicitud de reenvío que contendría marcos de mensajes incorrectos, lo que podría provocar un ataque de contrabando de solicitudes HTTP.

El hecho de que esta vulnerabilidad se pudiera explotar en la práctica dependía de la ruta de procesamiento interna de Akamai elegida para la distribución de esa solicitud en particular y del comportamiento del servidor de origen al recibir dicha solicitud.

Akamai se dio cuenta de este problema el 30 de diciembre de 2025 y comenzó inmediatamente una investigación. El 6 de febrero de 2026, se implementó una corrección completa que eliminó por completo la vulnerabilidad de todos los servicios de Akamai. No se requiere a los clientes ninguna acción de corrección.

Como parte de nuestro trabajo habitual de respuesta ante incidentes y análisis de vulnerabilidades, hemos divulgado este problema a través de la CVE-2026-26365.

Agradecemos a "Jake Murphy, del equipo de Google Cloud Mandiant" por informar de este problema a través del programa de recompensas Bug Bounty de Akamai y por coordinarse con nosotros durante toda nuestra investigación.