概要
PingoraのHTTP/1.1接続アップグレード処理において、HTTPリクエストスマグリングの脆弱性(CVE-2026-2833)が報告されました。この脆弱性は、共通脆弱性タイプ識別子CWE-444「HTTP Request Smuggling」に分類されます。PingoraプロキシがUpgradeヘッダーを含むリクエストを読み込む際、バックエンドが接続のアップグレードを正式に受け入れる前に、接続上の残りのバイトをバックエンドに転送してしまうことが原因です。
これにより、攻撃者はUpgradeヘッダーを含むリクエストの直後に悪意のあるペイロードをバックエンドに直接送信することが可能になります。このペイロードは、バックエンドによって後続のリクエストヘッダーとして誤って解釈される可能性があり、プロキシレベルのセキュリティ制御を迂回する経路を作り出します。
影響範囲
この脆弱性は主に、Pingoraプロキシが外部からのトラフィックに直接公開されているスタンドアロンのPingoraデプロイメントに影響を及ぼします。
なお、CloudflareのCDNインフラストラクチャは、イングレプロキシが適切なHTTPパース境界を維持し、アップグレードされた接続転送モードに時期尚早に切り替わらないため、この脆弱性の影響を受けなかったと報告されています。
想定される影響
攻撃者がこの脆弱性を悪用した場合、以下のような影響が発生する可能性があります。
- プロキシレベルのACL(アクセス制御リスト)やWAF(Web Application Firewall)のロジックをバイパスされる。
- キャッシュやアップストリーム接続が汚染され、正規のユーザーからの後続のリクエストに対して、スマグリングされたリクエストを意図したレスポンスが返される。
- セッションハイジャックや、信頼されたプロキシIPから発信されたように見せかけたリクエストのスマグリングにより、クロスユーザー攻撃が実行される。
攻撃成立条件・悪用状況
この脆弱性は、PingoraプロキシがHTTP/1.1のUpgradeヘッダーを含むリクエストを処理する際に発生します。特に、プロキシが外部に公開されている環境で、攻撃者が特定の形式のリクエストを送信することで悪用される可能性があります。
現時点では、具体的な悪用事例や攻撃の発生状況に関する詳細な情報は公開されていませんが、技術的な観点から攻撃が成立する可能性が指摘されています。
推奨対策
今すぐできる対策(優先度:高)
- Pingoraのアップグレード: Pingoraをバージョン0.8.0以降に速やかにアップグレードしてください。これにより、本脆弱性が修正されます。
一時的な緩和策
- Upgradeヘッダーの処理制限: ワークアラウンドとして、リクエストフィルターロジックにおいて、Upgradeヘッダーが存在するリクエストに対してエラーを返すように設定することが考えられます。これにより、リクエストヘッダー以降のバイト処理を停止し、ダウンストリーム接続の再利用を無効にすることができます。ただし、これは一時的な措置であり、根本的な解決にはアップグレードが必要です。
確認方法
現在運用中のPingoraのバージョンを確認し、v0.8.0未満である場合は脆弱性の影響を受ける可能性があります。Pingoraの公式ドキュメントやリリースノートを参照し、バージョンアップの手順を確認してください。
参考情報
- CVE ID: CVE-2026-2833
- 公開日: 2026年3月5日
- 詳細情報: https://cvefeed.io/vuln/detail/CVE-2026-2833