CVE-2026-27588
CriticalSummary
Caddy to rozbudowana platforma serwerowa, która domyślnie używa TLS. Przed wersją 2.11.1, matcher żądań HTTP `host` był dokumentowany jako niewrażliwy na wielkość liter, jednak przy dużej liście hostów (>100 wpisów) staje się wrażliwy na wielkość liter, co umożliwia atakującemu ominięcie routingu opartego na hoście oraz wszelkich kontroli dostępu związanych z tą trasą.
Risk Assessment
Organizacja może być narażona na nieautoryzowany dostęp do zasobów, ponieważ atakujący może manipulować nagłówkiem `Host`, aby obejść zabezpieczenia. To może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych.
Recommendation
Zaleca się aktualizację Caddy do wersji 2.11.1 lub nowszej, aby usunąć tę podatność. Dodatkowo warto przeanalizować konfigurację hostów i wprowadzić dodatkowe kontrole dostępu.
Original NVD description (English source)
Caddy is an extensible server platform that uses TLS by default. Prior to version 2.11.1, Caddy's HTTP `host` request matcher is documented as case-insensitive, but when configured with a large host list (>100 entries) it becomes case-sensitive due to an optimized matching path. An attacker can bypass host-based routing and any access controls attached to that route by changing the casing of the `Host` header. Version 2.11.1 contains a fix for the issue.

