A Akamai eliminou uma possível vulnerabilidade de contrabando de solicitações HTTP (CVE-2025-54142) decorrente da forma como alguns servidores de origem lidam com solicitações OPTIONS que incluem o corpo de uma solicitação.
O método de solicitação HTTP OPTIONS descrito na RFC 9110 pode ser usado por um cliente para determinar as opções permitidas para um determinado URL no servidor. Seu uso principal está dentro do contexto de um CORS (Cross-Origin Resource Sharing, compartilhamento de recursos de origem cruzada) para permitir que um navegador inspecione a solicitação de maneira idempotente antes de emitir a solicitação real.
Embora incomum na prática, o método OPTIONS pode ser acompanhado pelo corpo de uma entidade, embora, de acordo com a RFC 9110, não haja casos de uso válidos conhecidos para tais solicitações, e nenhum navegador conhecido ou cliente móvel normalmente emitiria solicitações desse tipo.
Detalhes
Certas pilhas de origem não compatíveis com RFC não consomem corretamente o corpo da solicitação quando ele é encaminhado para elas pelos servidores de proxy da Akamai, o que pode fazer com que a carga permaneça na conexão persistente entre um proxy e um servidor de origem.
Uma subsequente solicitação HTTP regular à mesma origem poderia ser anexada e acionar a origem para interpretar a solicitação contrabandeada.
Isso ofereceu a um invasor uma janela de oportunidade para envenenamento de cache ou outras ameaças relacionadas à segurança, dependendo da configuração do servidor de origem.
Mitigação
Além da Regra rápida de WAF que implementamos em 21 de julho de 2025 para proteger contra esse vetor específico de contrabando de solicitações, implementamos uma alteração separada em toda a plataforma que elimina esse e outros vetores de ataque semelhantes ao encerrar a conexão com uma origem e cliente para quaisquer solicitações OPTIONS com um corpo. Essa mudança foi totalmente implementada em 11 de agosto de 2025.
Tags
