Pingora 开源框架修复 HTTP/1.x 请求走私漏洞
The Cloudflare Blog2026/03/09 22:00机翻/自动摘要/自动分类
0 阅读
内容评分
技术含量
8/10
营销水分
3/10
摘要
本文介绍了 Pingora 开源框架中发现的三个 HTTP/1.x 请求走私漏洞,包括其原理、影响及修复措施。漏洞涉及协议解析和缓存机制,对独立部署的 Pingora 服务构成安全威胁,但 Cloudflare 的服务未受影响。建议用户升级至 0.8.0 版本以修复问题。
正文
2025 年 12 月,Cloudflare 发现 Pingora 开源框架在构建入口代理时存在 HTTP/1.x 请求走私漏洞。该漏洞由 Rajat Raghav 通过 Cloudflare 的漏洞赏金计划报告,并在 Pingora 0.8.0 版本中得到修复。漏洞包括 CVE-2026-2833、CVE-2026-2835 和 CVE-2026-2836,涉及请求头处理、协议解析和缓存键构造问题。Cloudflare 的 CDN 和客户流量未受影响,但独立部署的 Pingora 服务可能面临安全风险,如绕过安全控制、跨用户劫持攻击和缓存污染。建议所有使用 Pingora 的用户尽快升级至 0.8.0 版本以确保安全。