Akamai acquisisce LayerX, offrendo sicurezza end-to-end e controllo in tempo reale dell’uso dell’IA su qualsiasi browser. Visualizza dettagli

CVE-2025-54142: frode di una richiesta HTTP tramite OPTIONS + corpo della richiesta

Akamai Wave Blue

Aug 28, 2025

Akamai InfoSec

Akamai Wave Blue

scritto da

Akamai InfoSec

Condividi

Akamai ha eliminato una potenziale frode di una richiesta HTTP (CVE-2025-54142) derivante dal modo con cui alcuni server di origine gestiscono le richieste OPTIONS che includono il corpo della richiesta.

Il metodo di richiesta HTTP OPTIONS descritto in RFC 9110 può essere usato da un client per stabilire le opzioni consentite per uno specifico URL sul server. Il suo uso principale rientra nel contesto di una richiesta CORS (Cross-Origin Resource Sharing) per consentire ad un browser di autorizzare la richiesta in modo idempotente prima di emettere la richiesta effettiva.

Anche se si tratta di una pratica insolita, il metodo OPTIONS può essere accompagnato da un'entità-corpo, anche se, per l'RFC 9110, non esistono validi casi di utilizzo noti per tali richieste né browser o client mobili che, solitamente, potrebbero emettere richieste di questo tipo.

Dettagli

Alcuni dispositivi di origine non conformi all'RFC non utilizzano correttamente il corpo di una richiesta quando viene inoltrata dai server proxy di Akamai, il che potrebbe condurre al payload rimanente nella connessione persistente tra un proxy e un server di origine.

Una richiesta HTTP regolare successiva che viene effettuata alla stessa origine potrebbe essere aggiunta e attivare l'origine per l'interpretazione della richiesta illegittima.

che offre ai criminali l'opportunità di sferrare attacchi di cache poisoning o altre minacce correlate alla sicurezza, a seconda della configurazione del server di origine.

Mitigazione

Oltre alla regola rapida WAF che abbiamo implementato il 21 luglio 2025 per proteggere da questa specifica truffa delle richieste, abbiamo apportato un cambiamento a livello della piattaforma che elimina questo vettore e altri vettori simili terminando la connessione su un'origine e un client per le richieste OPTIONS con un corpo della richiesta. Questa modifica è stata implementata l'11 agosto 2025.

Akamai Wave Blue

Aug 28, 2025

Akamai InfoSec

Akamai Wave Blue

scritto da

Akamai InfoSec

Tag

Condividi

Post del blog correlati

Ricerca sulla sicurezza
Xurum: rilevata una nuova campagna di Magento
I ricercatori di Akamai hanno rilevato e analizzato una nuova minaccia sofisticata di Magento soprannominata Xurum. Scoprite i dettagli dell'attacco e i risultati della ricerca in questo blog.
Ricerca sulla sicurezza
Che cosa fa lo scraping? In che modo i bot dei web scraper possono erodere i profitti dell'e-commerce
June 25, 2024
Il rapporto SOTI sull'e-commerce descrive l'impatto economico, i problemi di rilevamento e il livello sofisticato dei bot dei web scraper.
Ricerca
Mini Shami-Hulud: il worm ritorna e diventa pubblico
Leggi ulteriori informazioni sull'attacco alla supply chain di Shami-Hulud che si è verificato nel 2026 per scoprire come TeamPCP utilizza il cache poisoning della CI e l'abuso di OIDC all'interno del payload dannoso.