Cloudflare ha abordado una vulnerabilidad de seguridad que afecta su dialéctica de fuerza del Entorno de gobierno cibernética de certificados (ACME) que hizo posible eludir los controles de seguridad y consentir a los servidores de origen.
“La vulnerabilidad se originó en la forma en que nuestra red de borde procesó las solicitudes destinadas a la ruta de desafío ACME HTTP-01 (/.well-known/acme-challenge/*)”, dijeron Hrushikesh Deshpande, Andrew Mitchell y Leland Garofalo de la empresa de infraestructura web.
La empresa de infraestructura web dijo que no encontró evidencia de que la vulnerabilidad haya sido explotada alguna vez en un contexto malvado.
ACME es un protocolo de comunicaciones (RFC 8555) que facilita la teledifusión, renovación y revocación cibernética de certificados SSL/TLS. Cada certificado proporcionado a un sitio web por una autoridad certificadora (CA) se valida mediante desafíos para demostrar la propiedad del dominio.
Este proceso generalmente se logra utilizando un cliente ACME como Certbot que demuestra la propiedad del dominio mediante un desafío HTTP-01 (o DNS-01) y administra el ciclo de vida del certificado. El desafío HTTP-01 indagación un token de fuerza y una huella digital secreto ubicada en el servidor web en “https://
El servidor de la CA realiza una solicitud HTTP GET a esa URL exacta para recuperar el archivo. Una vez que la demostración es exitosa, se emite el certificado y la CA marca la cuenta ACME (es afirmar, la entidad registrada en su servidor) como autorizada para llevar la batuta ese dominio específico.
En caso de que el desafío sea utilizado por un pedido de certificado administrado por Cloudflare, Cloudflare responderá en la ruta ayer mencionada y proporcionará el token proporcionado por la CA a la persona que lumbre. Pero si no se correlaciona con un pedido administrado por Cloudflare, la solicitud se dirige al origen del cliente, que puede estar utilizando un sistema diferente para la fuerza del dominio.
La vulnerabilidad, descubierta y reportada por FearsOff en octubre de 2025, tiene que ver con una implementación defectuosa del proceso de fuerza ACME que provoca que ciertas solicitudes de desafío a la URL deshabiliten las reglas del firewall de aplicaciones web (WAF) y le permitan presentarse al servidor de origen cuando idealmente debería favor estado bloqueado.
En otras palabras, la dialéctica no pudo realizar si el token en la solicitud efectivamente coincidía con un desafío activo para ese nombre de host específico, lo que efectivamente permitió a un atacante destinar solicitudes arbitrarias a la ruta ACME y eludir las protecciones WAF por completo, otorgándole la capacidad de presentarse al servidor de origen.
“Anteriormente, cuando Cloudflare entregaba un token de desafío HTTP-01, si la ruta solicitada por la persona que lumbre coincidía con un token para un desafío activo en nuestro sistema, la dialéctica que entregaba un token de desafío ACME deshabilitaría las funciones WAF, ya que Cloudflare estaría entregando directamente la respuesta”, explicó la compañía.
“Esto se hace porque esas características pueden interferir con la capacidad de la CA para validar los títulos del token y causarían fallas en los pedidos y renovaciones de certificados automatizados. Sin incautación, en el atmósfera en el que el token utilizado estuviera asociado con una zona diferente y no administrado directamente por Cloudflare, se permitiría que la solicitud continúe hasta el origen del cliente sin procesamiento adicional por parte de los conjuntos de reglas WAF”.
Kirill Firsov, fundador y director ejecutante de FearsOff, dijo que la vulnerabilidad podría ser explotada por un favorecido malvado para obtener un token determinista de larga duración y consentir a archivos confidenciales en el servidor de origen en todos los hosts de Cloudflare, abriendo la puerta al gratitud.
Cloudflare abordó la vulnerabilidad el 27 de octubre de 2025, con un cambio de código que proporciona la respuesta y deshabilita las funciones WAF solo cuando la solicitud coincide con un token de desafío ACME HTTP-01 válido para ese nombre de host.
