Akamai는 LayerX를 인수하여 모든 브라우저에서 엔드투엔드 보안과 실시간 AI 사용 제어 기능을 제공합니다. 자세한 정보

CVE-2026-26365: “Connection: Transfer-Encoding” 처리 오류

Akamai Wave Blue

Feb 20, 2026

Akamai InfoSec

Akamai Wave Blue

에 의해 작성

Akamai InfoSec

공유

2026년 2월 6일, Akamai는 맞춤형 홉 바이 홉(hop-by-hop) HTTP 헤더 처리 버그로 인한 잠재적인 HTTP 요청 스머글링 경로를 제거했습니다.

배경

HTTP는 첫 번째 프록시가 수신한 후 요청에서 즉시 제거하고 다음 서버로 전달하지 않도록 설계된 홉 바이 홉(hop-by-hop) 헤더 세트를 정의합니다. 

클라이언트는 HTTP 표준에 명시된 홉 바이 홉 헤더 외에도 “Connection” 헤더에 해당 헤더 이름을 나열해 고유한 맞춤형 홉 바이 홉 헤더를 정의할 수 있습니다. 예를 들면 “Connection: My-Custom-Hop-By-Hop-Header”입니다.

취약점 세부 정보

Akamai Edge 서버에는 “Transfer-Encoding”을 맞춤형 홉 바이 홉 헤더로 지정하는 요청의 부적절한 처리로 인한 버그가 있었습니다. 특히 공격자는 “Connection: Transfer-Encoding” 헤더를 포함한 악성 요청을 만들어 부적절한 메시지 프레이밍이 포함된 전달 요청을 일으킴으로써 HTTP 요청 스머글링 공격을 발생시킬 수 있었습니다.

이 취약점이 실제로 악용될 수 있는지 여부는 특정 요청을 전송하기 위해 선택한 내부 Akamai 처리 경로와 해당 요청을 수신할 때 오리진 서버의 동작에 따라 달라집니다.

방어

Akamai는 2025년 12월 30일에 이 문제를 인지하고 즉시 조사를 시작했습니다. 2026년 2월 6일에 전체 수정본이 배포되어 모든 Akamai 서비스의 취약점이 완전히 제거되었습니다. 고객은 문제 해결 조치를 취할 필요가 없습니다.

Akamai는 정기적인 인시던트 대응 작업 및 취약점 분석의 일환으로 CVE-2026-26365를 통해 이 문제를 공개했습니다.

감사의 말

Akamai의 버그 바운티 프로그램을 통해 이 문제를 보고하고 조사에 협조해 주신 “Google Cloud의 Mandiant 팀의 제이크 머피(Jake Murphy)” 님에게 감사의 말씀을 전합니다.

Akamai Wave Blue

Feb 20, 2026

Akamai InfoSec

Akamai Wave Blue

에 의해 작성

Akamai InfoSec

태그

공유

관련 블로그 게시물

연구
Mini Shai-Hulud: 돌아온 웜 그리고 공개 배포
2026년 Shai-Hulud 공급망 공격에 대해 알아보세요. TeamPCP가 악성 페이로드 내부에서 CI 캐시 포이즈닝과 OIDC 악용을 어떻게 활용하는지 알아보세요.
보안 리서치
CVE-2025-29635: D-Link 디바이스를 노리는 Mirai 캠페인
April 21, 2026
Akamai SIRT가 발견한 D-Link 명령어 삽입 취약점 CVE-2025-29635의 실제 악용 시도에 대해 알아보세요.
사이버 보안
CVE-2026-31979: Symlink 취약점 — Himmelblau의 루트 권한 상승
심각도 높은 취약점(CVE-2026-31979)이 Himmelblau의 특정 배포에 영향을 미칩니다. 즉각적인 조치가 권장됩니다.