CVE-2026-52845 Caddy Injeção de Cabeçalho
A vulnerabilidade permite que um cliente remoto injete ou substitua cabeçalhos de identidade/grupo confiáveis em aplicações PHP/FastCGI por trás do servidor Caddy. Isso ocorre devido à normalização de cabeçalhos HTTP em variáveis CGI, permitindo que um atacante envie um alias com sublinhado que sobreviva à etapa de exclusão do forward_auth e se torne a mesma variável PHP/FastCGI. O impacto real é a possibilidade de um atacante assumir a identidade de outro usuário ou grupo, comprometendo a segurança da aplicação.
CVE: CVE-2026-52845
Severidade: HIGH
Resumo:
A vulnerabilidade permite que um cliente remoto injete ou substitua cabeçalhos de identidade/grupo confiáveis em aplicações PHP/FastCGI por trás do servidor Caddy. Isso ocorre devido à normalização de cabeçalhos HTTP em variáveis CGI, permitindo que um atacante envie um alias com sublinhado que sobreviva à etapa de exclusão do forward_auth e se torne a mesma variável PHP/FastCGI. O impacto real é a possibilidade de um atacante assumir a identidade de outro usuário ou grupo, comprometendo a segurança da aplicação.
CVSS: 8.1