Akamai 收购 LayerX,为所有浏览器提供端到端安全和实时 AI 使用控制。 获取详情

CVE-2025-54142:由携带请求体的 OPTIONS 请求引发的 HTTP 请求走私攻击

Akamai Wave Blue

Aug 28, 2025

Akamai InfoSec

分享

Akamai 成功消除了一个潜在的 HTTP 请求走私漏洞 (CVE-2025-54142),该漏洞源于部分源服务器对携带请求体的 OPTIONS 请求处理不当。

客户端可以利用 RFC 9110 中定义的 HTTP OPTIONS 请求方法来确定服务器上给定 URL 所允许的通信选项。OPTIONS 方法主要用于跨源资源共享 (CORS) 场景,作用是让浏览器在发起真实请求前,能够以幂等的方式执行一次“预检”请求。

尽管在实际应用中不常见,但 OPTIONS 方法可以携带一个实体请求体 (entity-body),即使根据 RFC 9110,此类请求没有已知的有效用例,并且没有已知的浏览器或移动客户端会正常发出此类请求。

详情

某些不符合 RFC 规范的源服务器堆栈,在接收到由 Akamai 代理服务器转发来的请求体时,未能正常处理该请求体,这可能导致该载荷残留在代理与源服务器之间的持久连接中。

随后,发往同一源服务器的后续常规 HTTP 请求便会被附加到其末尾,导致源服务器将走私的请求一并解析。

这为攻击者提供了可乘之机,他们可能会根据源服务器的配置,发起缓存投毒或其他安全威胁。

抵御方案

除了我们在 2025 年 7 月 21 日为防御该特定请求走私漏洞所部署的 WAF 快速规则外,我们还实施了一项独立的平台级更改:通过终止任何携带请求体的 OPTIONS 请求所对应的客户端与源服务器连接,来杜绝这种攻击及类似的攻击手法。这项更改已于 2025 年 8 月 11 日全面部署。

Akamai Wave Blue

Aug 28, 2025

Akamai InfoSec

标签

分享

相关博文

安全研究
Xurum:新型 Magento 攻击活动
Akamai 研究人员发现一起针对 Magento 的新型复杂威胁活动,对该活动进行了分析并将其称为“Xurum”。请阅读本博文,了解攻击详情和研究结论。
安全研究
这种抓取会产生怎样的影响?网络抓取类爬虫程序如何损害电商利润
June 25, 2024
关于电商的 SOTI 报告描述了网络抓取类爬虫程序的经济影响、检测难点和复杂程度。
网络安全
Linux 中的 L 代表横向移动
June 28, 2023
并非只有 Windows 中才会发生横向移动。让我们来看看 Linux 中有哪些协议可用于实现横向移动,以便提升自身的防护能力。