Akamai acquiert LayerX, offrant une sécurité de bout en bout et un contrôle en temps réel de l'utilisation de l'IA sur n'importe quel navigateur. En savoir plus

CVE-2025-54142 : dissimulation de requêtes HTTP via OPTIONS + corps de requête

Akamai Wave Blue

Aug 28, 2025

Akamai InfoSec

Akamai Wave Blue

écrit par

Akamai InfoSec

Partager

Akamai a éliminé une vulnérabilité potentielle de dissimulation de requêtes HTTP (CVE-2025-54142) découlant de la façon dont certains serveurs d'origine gèrent les requêtes OPTIONS qui incluent un corps de requête.

La méthode de requête OPTIONS HTTP décrite dans le RFC 9110 peut être utilisée par un client pour déterminer les options autorisées pour une URL donnée sur le serveur. Elle est principalement utilisée dans le contexte d'un partage de ressources inter-origine (CORS) pour permettre à un navigateur de « pré-vérifier » la requête de manière idempotente avant d'émettre la requête réelle.

Bien que ce soit rare en pratique, la méthode OPTIONS peut être accompagnée d'un corps de requête, même si, selon le RFC 9110, il n'existe pas de cas d'utilisation valide connu pour de telles requêtes et aucun navigateur ou client mobile connu n'émet normalement de telles requêtes.

Détails

Certaines piles d'origine non conformes au RFC ne traitent pas correctement le corps de la requête lorsqu'il leur est transmis par les serveurs proxy d'Akamai, ce qui peut entraîner le maintien de la charge utile dans la connexion persistante entre un proxy et un serveur d'origine.

Une requête HTTP habituelle ultérieure vers le même serveur d'origine peut ensuite être ajoutée et déclencher l'interprétation par le serveur d'origine de la requête dissimulée.

Cela offrait à un attaquant l'opportunité d'empoisonner le cache ou de porter autrement atteinte à la sécurité, suivant la configuration du serveur d'origine.

Atténuation des menaces

En plus de la règle rapide WAF que nous avons déployée le 21 juillet 2025 pour nous protéger contre ce vecteur spécifique de dissimulation de requêtes, nous avons mis en œuvre une modification distincte à l'échelle de la plateforme qui élimine ce vecteur d'attaque et d'autres vecteurs similaires en mettant fin à la connexion à un serveur d'origine et à un client pour toutes les requêtes OPTIONS avec corps de requête. Cette modification a été entièrement déployée le 11 août 2025.

Akamai Wave Blue

Aug 28, 2025

Akamai InfoSec

Akamai Wave Blue

écrit par

Akamai InfoSec

Mots-clés

Partager

Articles de blog associés

Recherche sur la sécurité
Xurum : découverte d'une nouvelle campagne Magento
Les chercheurs d'Akamai ont découvert et analysé une nouvelle menace sophistiquée pour Magento qu'ils ont surnommée Xurum. Découvrez les détails de l'attaque et les conclusions dans cet article de blog.
Recherche sur la sécurité
Quel est ce bruit étrange ? Comment les bots d'extraction Web érodent les bénéfices du commerce électronique
June 25, 2024
Le rapport État des lieux d'Internet sur le commerce électronique expose les incidences économiques, les difficultés de détection et la sophistication des bots d'extraction Web.
Recherche
Mini Shai-Hulud : le ver refait surface et devient public
Lisez cet article sur l'attaque de la chaîne d'approvisionnement Shai-Hulud survenue en 2026 : Découvrez comment TeamPCP utilise l'empoisonnement du cache CI et l'abus d'OIDC au sein de la charge malveillante.