2026 年 2 月 6 日,Akamai 消除了一个因处理自定义逐跳 HTTP 标头时的漏洞而可能引发的 HTTP 请求走私攻击媒介。
背景
HTTP定义了一组逐跳 标头,该标头仅由接收这些标头的第一个代理进行处理,然后立即从请求中删除,而不会转发到下一个服务器。
除了 HTTP 标准中规定的逐跳标头之外,客户端还可以通过在“Connection”标头中列出这些自定义标头的名称,来定义自己的逐跳标头;例如:“Connection: my-Custom-Hop-by-Hop-Header”。
漏洞详情
Akamai 边缘服务器存在一个漏洞,原因在于其未能正确处理将 Transfer-Encoding 指定为自定义逐跳标头的请求。具体而言,攻击者可以构造一个恶意请求,其中包含“Connection: Transfer-Encoding”这一标头,这会导致转发给后端服务器的请求中包含不正确的消息分帧,从而可能引发 HTTP 请求走私攻击。
该漏洞在实际中是否可以被利用,取决于该特定请求在 Akamai 内部被分配的处理路径,以及源服务器在接收到此类请求时的行为。
抵御措施
Akamai 于 2025 年 12 月 30 日获悉此问题,并迅速启动了调查。2026 年 2 月 6 日,我们部署了完整的修复方案,彻底清除了所有 Akamai 服务中的该漏洞。客户无需采取任何补救措施。
作为我们常规事件响应工作和漏洞分析的一部分,我们已通过 CVE-2026-26365 公开披露了此问题。
特别鸣谢
我们感谢 Google Cloud Mandiant 团队的 Jake Murphy 通过Akamai 的漏洞赏金计划报告了此问题,并在我们整个调查过程中与我们进行了协调配合。
标签
