Akamai adquire a LayerX, oferecendo segurança de ponta a ponta e controle em tempo real do uso de IA em qualquer navegador. Veja os detalhes

CVE-2025-54142: contrabando de solicitações HTTP via OPTIONS + corpo

Akamai Wave Blue

Aug 28, 2025

Akamai InfoSec

Akamai Wave Blue

escrito por

Akamai InfoSec

Compartilhar

A Akamai eliminou uma possível vulnerabilidade de contrabando de solicitações HTTP (CVE-2025-54142) decorrente da forma como alguns servidores de origem lidam com solicitações OPTIONS que incluem o corpo de uma solicitação.

O método de solicitação HTTP OPTIONS descrito na RFC 9110 pode ser usado por um cliente para determinar as opções permitidas para um determinado URL no servidor. Seu uso principal está dentro do contexto de um CORS (Cross-Origin Resource Sharing, compartilhamento de recursos de origem cruzada) para permitir que um navegador inspecione a solicitação de maneira idempotente antes de emitir a solicitação real.

Embora incomum na prática, o método OPTIONS pode ser acompanhado pelo corpo de uma entidade, embora, de acordo com a RFC 9110, não haja casos de uso válidos conhecidos para tais solicitações, e nenhum navegador conhecido ou cliente móvel normalmente emitiria solicitações desse tipo.

Detalhes

Certas pilhas de origem não compatíveis com RFC não consomem corretamente o corpo da solicitação quando ele é encaminhado para elas pelos servidores de proxy da Akamai, o que pode fazer com que a carga permaneça na conexão persistente entre um proxy e um servidor de origem.

Uma subsequente solicitação HTTP regular à mesma origem poderia ser anexada e acionar a origem para interpretar a solicitação contrabandeada.

Isso ofereceu a um invasor uma janela de oportunidade para envenenamento de cache ou outras ameaças relacionadas à segurança, dependendo da configuração do servidor de origem.

Mitigação

Além da Regra rápida de WAF que implementamos em 21 de julho de 2025 para proteger contra esse vetor específico de contrabando de solicitações, implementamos uma alteração separada em toda a plataforma que elimina esse e outros vetores de ataque semelhantes ao encerrar a conexão com uma origem e cliente para quaisquer solicitações OPTIONS com um corpo. Essa mudança foi totalmente implementada em 11 de agosto de 2025.

Akamai Wave Blue

Aug 28, 2025

Akamai InfoSec

Akamai Wave Blue

escrito por

Akamai InfoSec

Tags

Compartilhar

Publicações de blog relacionadas

Pesquisas sobre segurança
Xurum: Nova campanha contra a Magento descoberta
Os pesquisadores da Akamai descobriram e analisaram uma nova e sofisticada ameaça à Magento que eles chamaram de Xurum. Veja detalhes e descobertas do ataque nesta postagem do blog.
Pesquisas sobre segurança
Tem alguma coisa errada Como os bots web scrapers prejudicam os lucros do comércio eletrônico
June 25, 2024
O relatório SOTI sobre comércio eletrônico descreve os impactos econômicos, os desafios de detecção e a sofisticação dos bots web scrapers.
Cibersegurança
O L em Linux significa “lateral movement”, ou “movimento lateral” em português
June 28, 2023
O movimento lateral não é exclusivo do Windows. Vamos analisar os protocolos no Linux que podem ser empregados para obter movimento lateral, para que você possa se proteger.