CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-2833

Critical
Published: Translated: NVD NIST

Summary

Wykryto podatność na oszustwa w żądaniach HTTP (CWE-444) w obsłudze aktualizacji połączeń HTTP/1.1 przez Pingora. Problem występuje, gdy proxy Pingora odczytuje żądanie zawierające nagłówek Upgrade, co pozwala na przesłanie złośliwego ładunku do backendu przed zaakceptowaniem aktualizacji.

Risk Assessment

Podatność ta szczególnie dotyczy samodzielnych wdrożeń Pingora, gdzie proxy jest narażone na ruch zewnętrzny. Atakujący może wykorzystać tę lukę do obejścia kontroli ACL na poziomie proxy oraz logiki WAF, co prowadzi do poważnych zagrożeń dla bezpieczeństwa sesji użytkowników.

Recommendation

Zaleca się ograniczenie dostępu do proxy Pingora oraz wdrożenie dodatkowych zabezpieczeń, aby zminimalizować ryzyko oszustw w żądaniach HTTP i ataków między użytkownikami.

Original NVD description (English source)

An HTTP request smuggling vulnerability (CWE-444) was found in Pingora's handling of HTTP/1.1 connection upgrades. The issue occurs when a Pingora proxy reads a request containing an Upgrade header, causing the proxy to pass through the rest of the bytes on the connection to a backend before the backend has accepted the upgrade. An attacker can thus directly forward a malicious payload after a request with an Upgrade header to that backend in a way that may be interpreted as a subsequent request header, bypassing proxy-level security controls and enabling cross-user session hijacking. Impact This vulnerability primarily affects standalone Pingora deployments where a Pingora proxy is exposed to external traffic. An attacker could exploit this to: * Bypass proxy-level ACL controls and WAF logic * Poison caches and upstream connections, causing subsequent requests from legitimate users to receive responses intended for smuggled requests * Perform cross-user attacks by

Vulnerability data from NVD (NIST) · CISA KEV · EPSS