Cloudflare tiene dirigido una vulnerabilidad de seguridad que afecta su entorno de gestión automática de certificados (CUMBRE) lógica de validación que permitió eludir los controles de seguridad y el acceso servidores de origen.
«La vulnerabilidad se originó en la forma en que nuestra red de borde procesó las solicitudes destinadas a la ruta de desafío ACME HTTP-01 (/.well-known/acme-challenge/*)», dijeron Hrushikesh Deshpande, Andrew Mitchell y Leland Garofalo de la empresa de infraestructura web.
La empresa de infraestructura web dijo que no encontró evidencia de que la vulnerabilidad haya sido explotada alguna vez en un contexto malicioso.
ACME es un protocolo de comunicaciones (RFC 8555) que facilita la emisión, renovación y revocación automática de certificados SSL/TLS. Cada certificado proporcionado a un sitio web por una autoridad certificadora (CA) se valida mediante desafíos para demostrar la propiedad del dominio.
Este proceso generalmente se logra utilizando un cliente ACME como Certbot que demuestre la propiedad del dominio a través de un HTTP-01 (o DNS-01) desafía y gestiona el ciclo de vida del certificado. El desafío HTTP-01 busca un token de validación y una huella digital clave ubicada en el servidor web en «https://
El servidor de la CA realiza una solicitud HTTP GET a esa URL exacta para recuperar el archivo. Una vez que la verificación es exitosa, se emite el certificado y la CA marca la cuenta ACME (es decir, la entidad registrada en su servidor) como autorizada para administrar ese dominio específico.
En caso de que el desafío sea utilizado por un pedido de certificado administrado por Cloudflare, Cloudflare responderá en la ruta antes mencionada y proporcionará el token proporcionado por la CA a la persona que llama. Pero si no se correlaciona con un pedido administrado por Cloudflare, la solicitud se dirige al origen del cliente, que puede estar utilizando un sistema diferente para la validación del dominio.
La vulnerabilidad, descubierto y reportado por FearsOff en octubre de 2025, tiene que ver con una implementación defectuosa del proceso de validación ACME que provoca que ciertas solicitudes de desafío a la URL deshabiliten las reglas del firewall de aplicaciones web (WAF) y le permitan llegar al servidor de origen cuando idealmente debería haber estado bloqueado.
En otras palabras, la lógica no pudo verificar si el token en la solicitud realmente coincidía con un desafío activo para ese nombre de host específico, lo que efectivamente permitió a un atacante enviar solicitudes arbitrarias a la ruta ACME y eludir las protecciones WAF por completo, otorgándole la capacidad de llegar al servidor de origen.
«Anteriormente, cuando Cloudflare entregaba un token de desafío HTTP-01, si la ruta solicitada por la persona que llama coincidía con un token para un desafío activo en nuestro sistema, la lógica que entregaba un token de desafío ACME deshabilitaría las funciones WAF, ya que Cloudflare estaría entregando directamente la respuesta», explicó la compañía.
«Esto se hace porque esas características pueden interferir con la capacidad de la CA para validar los valores del token y causarían fallas en los pedidos y renovaciones de certificados automatizados. Sin embargo, en el escenario en el que el token utilizado estuviera asociado con una zona diferente y no administrado directamente por Cloudflare, se permitiría que la solicitud continúe hasta el origen del cliente sin procesamiento adicional por parte de los conjuntos de reglas WAF».
Kirill Firsov, fundador y director ejecutivo de FearsOff, dijo que la vulnerabilidad podría ser explotada por un usuario malicioso para obtener un token determinista de larga duración y acceder a archivos confidenciales en el servidor de origen en todos los hosts de Cloudflare, abriendo la puerta al reconocimiento.
Cloudflare abordó la vulnerabilidad el 27 de octubre de 2025, con un cambio de código que proporciona la respuesta y deshabilita las funciones WAF solo cuando la solicitud coincide con un token de desafío ACME HTTP-01 válido para ese nombre de host.
Fuente