【安全圈】Cloudflare 零日漏洞：可繞過 WAF 訪問全球任意后端主機

關鍵詞

0day漏洞

Cloudflare 已修復其 ACME 驗證邏輯中的一項漏洞，該漏洞可能允許攻擊者繞過安全檢查并訪問受保護的源站服務器。

Cloudflare 表示，其 ACME HTTP-01 驗證流程中存在缺陷，問題出在Cloudflare 邊緣節點對/.well-known/acme-challenge/路徑請求的處理方式上。該公司稱，未發現該漏洞被惡意利用的跡象。

ACME 是一種用于讓證書頒發機構驗證域名所有權的協議。在 HTTP-01 驗證方式下，CA 會訪問一個包含一次性令牌的特定 URL；如果返回內容匹配，即可簽發證書。按設計，該過程只應允許訪問這一精確路徑，而不能訪問其他任何資源。

漏洞是如何被發現的

研究人員在測試部署在 Cloudflare 之后、且 WAF 僅允許特定來源訪問的應用時發現，對/.well-known/acme-challenge/{token}的請求繞過了 WAF，并直接到達源站服務器。

在演示主機上的測試證實了這一行為：

• 對普通路徑的訪問會返回 Cloudflare 的攔截頁面；

• 而對 ACME 路徑的訪問，即使沒有真實的令牌，也會返回由源站生成的響應。

研究人員通過自定義主機名創建了一個穩定、處于待驗證狀態的 HTTP-01 令牌，從而能夠在全球范圍內可靠地測試 WAF 的行為。

潛在風險與影響

當 Cloudflare 的 WAF 允許/.well-known/acme-challenge/...路徑繞過防護時，信任邊界從 WAF 轉移到了源站。演示應用顯示了由此帶來的多種風險，包括：

• Spring / Tomcat 端點泄露敏感的環境變量

• Next.js SSR 頁面暴露運行和運維細節

• PHP 路由因本地文件包含漏洞暴露文件

此外，賬戶級 WAF 規則在該路徑上被忽略，使基于請求頭的攻擊成為可能，例如 SSRF、SQL 注入和緩存投毒。

Cloudflare 已于 2025 年 10 月 27 日 修復該問題，恢復了對該路徑的一致性 WAF 防護。

研究人員的警告

安全研究機構 FearsOff 在報告中指出：

“當用于檢查請求頭的 WAF 規則被跳過時，許多漏洞類型就重新獲得了通往源站的通道：例如遺留代碼中基于請求頭的 SQL 拼接、通過 X-Forwarded-Host 或 X-Original-URL 實現的 SSRF 和主機混淆、當緩存因請求頭變化而產生的緩存鍵投毒、利用 X-HTTP-Method-Override 的方法覆蓋技巧，以及通過自定義請求頭觸發的調試開關。顯而易見的問題是——還有多少應用對請求頭的信任程度超出應有范圍？又有多少應用依賴 WAF 來充當這種信任與互聯網之間的防線？”

報告還強調，隨著 AI 驅動攻擊的發展，這類 WAF 繞過漏洞的危險性正在上升。AI 能夠迅速發現并利用暴露的路徑，將多個小漏洞串聯成大規模攻擊。與此同時，防御方也在使用 AI 進行攻擊模擬和防御部署，使強健、全面的 WAF 防護變得愈發關鍵。

報告總結稱：

“在 AI 驅動攻擊不斷演進的背景下，這類 WAF 繞過漏洞顯得尤為緊迫。由機器學習驅動的自動化工具可以快速枚舉并利用諸如 /.well-known/acme-challenge/ 這樣的暴露路徑，在大規模環境中探測特定框架的弱點或配置錯誤。”

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！