Em 6 de fevereiro de 2026, a Akamai eliminou um potencial vetor de contrabando de solicitações HTTP devido a um bug no processamento de cabeçalhos HTTP hop-by-hop personalizados.
Histórico
HTTP define um conjunto de cabeçalhos hop-by-hop destinados a serem processados apenas pelo primeiro proxy que os recebe e, em seguida, imediatamente removidos da solicitação, nunca encaminhados para o próximo servidor.
Além dos cabeçalhos hop-by-hop especificados no padrão HTTP, os clientes podem definir seus próprios cabeçalhos hop-by-hop personalizados listando esses nomes de cabeçalho no cabeçalho “Connection”; por exemplo, ”Connection: My-Custom-Hop-By-Hop-Header.”
Detalhes da vulnerabilidade
Os servidores de edge da Akamai continham um bug devido ao processamento inadequado de solicitações especificando “Transfer-Encoding” como um cabeçalho hop-by-hop personalizado. Especificamente, um invasor poderia criar uma solicitação maliciosa, incluindo o cabeçalho “Connection: Transfer-Encoding”, o que resultaria em uma solicitação de encaminhamento com o enquadramento inadequado de mensagens, potencialmente levando a um ataque de contrabando de solicitações HTTP.
Para que essa vulnerabilidade fosse explorável na prática, dependeria do caminho de processamento interno da Akamai escolhido para a entrega dessa solicitação específica e do comportamento do servidor de origem ao receber essa solicitação.
Mitigação
A Akamai tomou conhecimento desse problema em 30 de dezembro de 2025 e imediatamente iniciou uma investigação. Em 6 de fevereiro de 2026, uma correção completa foi implantada, eliminando completamente a vulnerabilidade de todos os serviços da Akamai. Nenhuma ação de correção é exigida pelos clientes.
Como parte de nosso trabalho regular de resposta a incidentes e análise de vulnerabilidades, divulgamos esse problema via CVE-2026-26365.
Agradecimentos especiais
Agradecemos a “Jake Murphy, da equipe Mandiant do Google Cloud” por relatar esse problema através do programa de recompensa por bugs da Akamai e por trabalhar conosco durante nossa investigação.
Tags
