CVE-2025-4366

Опубликовано: 22 мая 2025

Источник: nvd

CVSS3: 6.1

EPSS Низкий

Описание

A request smuggling vulnerability identified within Pingora’s proxying framework, pingora-proxy, allows malicious HTTP requests to be injected via manipulated request bodies on cache HITs, leading to unauthorized request execution and potential cache poisoning.

Fixed in: https://github.com/cloudflare/pingora/commit/fda3317ec822678564d641e7cf1c9b77ee3759ff https://github.com/cloudflare/pingora/commit/fda3317ec822678564d641e7cf1c9b77ee3759ff

Impact: The issue could lead to request smuggling in cases where Pingora’s proxying framework, pingora-proxy, is used for caching allowing an attacker to manipulate headers and URLs in subsequent requests made on the same HTTP/1.1 connection.

Ссылки

https://github.com/cloudflare/pingora
Product

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:cloudflare:pingora:*:*:*:*:*:*:*:*

Версия до 0.5.0 (исключая)

EPSS

Процентиль: 34%

0.00141

Низкий

6.1 Medium

CVSS3

Дефекты

CWE-444

Связанные уязвимости

GHSA-93c7-7xqw-w357

github

8 месяцев назад

Pingora has a Request Smuggling Vulnerability

BDU:2025-10363

CVSS3: 8

fstec

10 месяцев назад

Уязвимость прокси-сервера Pingora, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю выполнить произвольный код