Akamai a éliminé une vulnérabilité potentielle de dissimulation de requêtes HTTP (CVE-2025-54142) découlant de la façon dont certains serveurs d'origine gèrent les requêtes OPTIONS qui incluent un corps de requête.
La méthode de requête OPTIONS HTTP décrite dans le RFC 9110 peut être utilisée par un client pour déterminer les options autorisées pour une URL donnée sur le serveur. Elle est principalement utilisée dans le contexte d'un partage de ressources inter-origine (CORS) pour permettre à un navigateur de « pré-vérifier » la requête de manière idempotente avant d'émettre la requête réelle.
Bien que ce soit rare en pratique, la méthode OPTIONS peut être accompagnée d'un corps de requête, même si, selon le RFC 9110, il n'existe pas de cas d'utilisation valide connu pour de telles requêtes et aucun navigateur ou client mobile connu n'émet normalement de telles requêtes.
Détails
Certaines piles d'origine non conformes au RFC ne traitent pas correctement le corps de la requête lorsqu'il leur est transmis par les serveurs proxy d'Akamai, ce qui peut entraîner le maintien de la charge utile dans la connexion persistante entre un proxy et un serveur d'origine.
Une requête HTTP habituelle ultérieure vers le même serveur d'origine peut ensuite être ajoutée et déclencher l'interprétation par le serveur d'origine de la requête dissimulée.
Cela offrait à un attaquant l'opportunité d'empoisonner le cache ou de porter autrement atteinte à la sécurité, suivant la configuration du serveur d'origine.
Atténuation
En plus de la règle rapide WAF que nous avons déployée le 21 juillet 2025 pour nous protéger contre ce vecteur spécifique de dissimulation de requêtes, nous avons mis en œuvre une modification distincte à l'échelle de la plateforme qui élimine ce vecteur d'attaque et d'autres vecteurs similaires en mettant fin à la connexion à un serveur d'origine et à un client pour toutes les requêtes OPTIONS avec corps de requête. Cette modification a été entièrement déployée le 11 août 2025.
Balises
