Il 6 febbraio 2026, Akamai ha eliminato un potenziale vettore di contrabbando di richieste HTTP a causa di un bug nell'elaborazione delle intestazioni HTTP hop-by-hop personalizzate.
Background
L'HTTP definisce una serie di intestazioni hop-by-hop che devono essere elaborate solo dal primo proxy che le riceve e quindi rimosse immediatamente dalla richiesta, mai inoltrate al server successivo.
Oltre alle intestazioni hop-by-hop specificate nello standard HTTP, i client possono definire le proprie intestazioni hop-by-hop personalizzate elencando questi nomi nell'intestazione "Connection", ad esempio, "Connection: My-Custom-Hop-By-Hop-Header".
Dettagli della vulnerabilità
Gli edge server di Akamai contenevano un bug causato da un errore di elaborazione delle richieste che specificavano "Transfer-Encoding" come intestazione hop-by-hop personalizzata. Nello specifico, un criminale avrebbe potuto creare una richiesta dannosa, inclusa l'intestazione "Connection: Transfer-Encoding", che poteva causare una richiesta di inoltro contenente un framing di messaggi non corretto, portando potenzialmente ad un attacco di contrabbando di richieste HTTP.
La possibilità di sfruttare praticamente questa vulnerabilità dipende dal percorso di elaborazione interno di Akamai, che viene scelto per la delivery di tale richiesta e dal comportamento del server di origine che riceve tale richiesta.
Mitigazione
Akamai è venuta a conoscenza di questo problema il 30 dicembre 2025 e ha subito avviato un'indagine. Il 6 febbraio 2026 è stata implementata una correzione completa, che ha eliminato completamente la vulnerabilità da tutti i servizi di Akamai. Non è richiesta alcuna azione correttiva da parte dei clienti.
Nell'ambito delle nostre consuete attività di risposta agli incidenti e di analisi delle vulnerabilità, abbiamo reso noto questo problema con il codice CVE-2026-26365.
Ringraziamenti speciali
Grazie a Jake Murphy del team Mandiant di Google Cloud per aver segnalato questo problema tramite il programma Bug Bounty di Akamai e per averci coordinato durante l'indagine.
Tag
