Pingora von Cloudflare mit zwei kritischen Schwachstellen
- Sicherheitshinweis
Cloudflare schließt in seinem Produkt Pingora drei Sicherheitslücken, darunter zwei kritische. Nutzende sollten die gepatchte Version rasch einspielen.
© CSBW
Dateneinschleusung und -ausspähung möglich
Durch die drei Schwachstellen können Angreifende über HTTP-Requests (Schad)-Daten einschleusen, mandantenübergreifend Daten ausspähen und DNS-Einträge manipulieren.
Betroffen sind Standalone-Pingora-Instanzen, die über das Internet erreichbar sind und bei denen Pingora als Eingangs-Proxy fungiert.
Die Schwachstellen haben folgende Kennungen und Scores:
- CVE-2026-2833 (CVSS-Base-Score: 9.3/10)
- CVE-2026-2835 (CVSS-Base-Score: 9.3/10)
- CVE-2026-2836 (CVSS-Base-Score: 8.4/10)
Pingora ist ein Open-Source-Proxy-Framework, das in Rust geschrieben ist. Es stellt Dienste zur Verfügung, auf denen ein großer Teil des Datenverkehrs bei Cloudflare basiert.
Empfehlung
Installieren Sie zeitnah Pingora Version 0.8.0 oder höher.