【安全圈】Cloudflare 零日漏洞：可绕过 WAF 访问全球任意后端主机

关键词

0day漏洞

Cloudflare 已修复其 ACME 验证逻辑中的一项漏洞，该漏洞可能允许攻击者绕过安全检查并访问受保护的源站服务器。

Cloudflare 表示，其 ACME HTTP-01 验证流程中存在缺陷，问题出在Cloudflare 边缘节点对/.well-known/acme-challenge/路径请求的处理方式上。该公司称，未发现该漏洞被恶意利用的迹象。

ACME 是一种用于让证书颁发机构验证域名所有权的协议。在 HTTP-01 验证方式下，CA 会访问一个包含一次性令牌的特定 URL；如果返回内容匹配，即可签发证书。按设计，该过程只应允许访问这一精确路径，而不能访问其他任何资源。

漏洞是如何被发现的

研究人员在测试部署在 Cloudflare 之后、且 WAF 仅允许特定来源访问的应用时发现，对/.well-known/acme-challenge/{token}的请求绕过了 WAF，并直接到达源站服务器。

在演示主机上的测试证实了这一行为：

• 对普通路径的访问会返回 Cloudflare 的拦截页面；

• 而对 ACME 路径的访问，即使没有真实的令牌，也会返回由源站生成的响应。

研究人员通过自定义主机名创建了一个稳定、处于待验证状态的 HTTP-01 令牌，从而能够在全球范围内可靠地测试 WAF 的行为。

潜在风险与影响

当 Cloudflare 的 WAF 允许/.well-known/acme-challenge/...路径绕过防护时，信任边界从 WAF 转移到了源站。演示应用显示了由此带来的多种风险，包括：

• Spring / Tomcat 端点泄露敏感的环境变量

• Next.js SSR 页面暴露运行和运维细节

• PHP 路由因本地文件包含漏洞暴露文件

此外，账户级 WAF 规则在该路径上被忽略，使基于请求头的攻击成为可能，例如 SSRF、SQL 注入和缓存投毒。

Cloudflare 已于 2025 年 10 月 27 日 修复该问题，恢复了对该路径的一致性 WAF 防护。

研究人员的警告

安全研究机构 FearsOff 在报告中指出：

“当用于检查请求头的 WAF 规则被跳过时，许多漏洞类型就重新获得了通往源站的通道：例如遗留代码中基于请求头的 SQL 拼接、通过 X-Forwarded-Host 或 X-Original-URL 实现的 SSRF 和主机混淆、当缓存因请求头变化而产生的缓存键投毒、利用 X-HTTP-Method-Override 的方法覆盖技巧，以及通过自定义请求头触发的调试开关。显而易见的问题是——还有多少应用对请求头的信任程度超出应有范围？又有多少应用依赖 WAF 来充当这种信任与互联网之间的防线？”

报告还强调，随着 AI 驱动攻击的发展，这类 WAF 绕过漏洞的危险性正在上升。AI 能够迅速发现并利用暴露的路径，将多个小漏洞串联成大规模攻击。与此同时，防御方也在使用 AI 进行攻击模拟和防御部署，使强健、全面的 WAF 防护变得愈发关键。

报告总结称：

“在 AI 驱动攻击不断演进的背景下，这类 WAF 绕过漏洞显得尤为紧迫。由机器学习驱动的自动化工具可以快速枚举并利用诸如 /.well-known/acme-challenge/ 这样的暴露路径，在大规模环境中探测特定框架的弱点或配置错误。”

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！