Le 6 février 2026, Akamai a éliminé un vecteur potentiel de dissimulation de requêtes (request smuggling) HTTP, résultant d'un bug dans le traitement des en-têtes HTTP hop-by-hop personnalisés.
Contexte
Le protocole HTTP définit un ensemble d'en-têtes dits hop-by-hop, qui doivent être traités uniquement par le premier proxy qui les reçoit, puis supprimés immédiatement de la requête, sans jamais être transmis au serveur suivant.
En complément des en-têtes hop-by-hop spécifiés dans la norme HTTP, les clients peuvent définir leurs propres en-têtes hop-by-hop personnalisés en listant leurs noms dans l'en-tête « Connection », par exemple : « Connection: My-Custom-Hop-By-Hop-Header ».
Informations sur cette vulnérabilité
Les serveurs en bordure de l'Internet d'Akamai présentaient un bug lié au traitement incorrect des requêtes spécifiant « Transfer-Encoding » comme en-tête hop-by-hop personnalisé. Plus précisément, un attaquant pouvait créer une requête malveillante incluant l'en-tête « Connection: Transfer-Encoding », ce qui entraînait le transfert d'une requête avec un découpage incorrect du message, susceptible de conduire à une attaque par dissimulation de requêtes HTTP.
Dans la pratique, la possibilité d'exploiter cette vulnérabilité dépendait du chemin de traitement interne choisi par Akamai pour la transmission de la requête concernée, ainsi que du comportement du serveur d'origine lors de la réception de cette requête.
Atténuation
Akamai a eu connaissance de ce problème le 30 décembre 2025 et a immédiatement ouvert une enquête. Le 6 février 2026, un correctif complet a été déployé, faisant totalement disparaître la vulnérabilité de tous les services Akamai. Aucune mesure corrective n'est requise de la part des clients.
Dans le cadre de nos activités de réponse aux incidents et d'analyse des vulnérabilités, cette faille a été publiée sous l'identifiant CVE-2026-26365.
Remerciements
Nous remercions « Jake Murphy de l'équipe Mandiant de Google Cloud » d'avoir signalé cette vulnérabilité via le programme de chasse aux bugs d'Akamai et pour sa collaboration tout au long de notre enquête.
Mots-clés
