Akamai ha eliminato una potenziale frode di una richiesta HTTP (CVE-2025-54142) derivante dal modo con cui alcuni server di origine gestiscono le richieste OPTIONS che includono il corpo della richiesta.
Il metodo di richiesta HTTP OPTIONS descritto in RFC 9110 può essere usato da un client per stabilire le opzioni consentite per uno specifico URL sul server. Il suo uso principale rientra nel contesto di una richiesta CORS (Cross-Origin Resource Sharing) per consentire ad un browser di autorizzare la richiesta in modo idempotente prima di emettere la richiesta effettiva.
Anche se si tratta di una pratica insolita, il metodo OPTIONS può essere accompagnato da un'entità-corpo, anche se, per l'RFC 9110, non esistono validi casi di utilizzo noti per tali richieste né browser o client mobili che, solitamente, potrebbero emettere richieste di questo tipo.
Dettagli
Alcuni dispositivi di origine non conformi all'RFC non utilizzano correttamente il corpo di una richiesta quando viene inoltrata dai server proxy di Akamai, il che potrebbe condurre al payload rimanente nella connessione persistente tra un proxy e un server di origine.
Una richiesta HTTP regolare successiva che viene effettuata alla stessa origine potrebbe essere aggiunta e attivare l'origine per l'interpretazione della richiesta illegittima.
che offre ai criminali l'opportunità di sferrare attacchi di cache poisoning o altre minacce correlate alla sicurezza, a seconda della configurazione del server di origine.
Mitigazione
Oltre alla regola rapida WAF che abbiamo implementato il 21 luglio 2025 per proteggere da questa specifica truffa delle richieste, abbiamo apportato un cambiamento a livello della piattaforma che elimina questo vettore e altri vettori simili terminando la connessione su un'origine e un client per le richieste OPTIONS con un corpo della richiesta. Questa modifica è stata implementata l'11 agosto 2025.
Tag
