Cloudflare 近期修复了其自动证书管理环境(ACME)验证机制中的一项安全缺陷。该问题可能被攻击者利用,从而绕过既有的安全防护,直接访问源站服务器。
Cloudflare 安全研究人员 Hrushikesh Deshpande、Andrew Mitchell 与 Leland Garofalo 指出,问题根源在于边缘网络对 ACME HTTP-01 验证路径(/.well-known/acme-challenge/*)请求的处理逻辑存在缺陷。
ACME(RFC 8555)是一种用于自动化 SSL/TLS 证书签发、续期和吊销的协议。证书颁发机构(CA)需要通过验证挑战确认域名控制权后,才会为站点颁发证书。该流程通常由 Certbot 等 ACME 客户端完成,通过 HTTP-01 或 DNS-01 挑战来证明域名归属,并维护证书生命周期。
在 HTTP-01 验证过程中,CA 会访问https://<域名>/.well-known/acme-challenge/<令牌>
以获取对应的验证令牌和密钥指纹。验证成功后,CA 将为该域名签发证书,并授权对应的 ACME 账户对该域名进行管理。
该漏洞由 FearsOff 团队于 2025 年 10 月发现并上报,源于 ACME 验证流程的实现错误。当系统接收到特定路径下的挑战请求时,Web 应用防火墙(WAF)未能正常生效,导致原本应被拦截的请求被直接转发至源服务器。
更严重的是,验证逻辑并未确认请求中携带的令牌是否与当前主机名的有效挑战相匹配。这使攻击者能够向 ACME 路径发送任意请求,从而完全绕过 WAF 防护,直接访问源站资源。
FearsOff 创始人兼 CEO Kirill Firsov 表示,攻击者可借此漏洞获取长期稳定可用的令牌,从而访问 Cloudflare 托管主机背后的源服务器敏感文件,为后续侦察活动提供便利。
Cloudflare 已于 2025 年 10 月 27 日通过代码更新修复该问题。修复后的逻辑仅在请求确实匹配当前主机名的有效 ACME HTTP-01 挑战令牌时,才会返回响应并临时禁用 WAF。官方表示,目前未发现该漏洞被实际利用的证据。
参考来源:
Cloudflare Fixes ACME Validation Bug Allowing WAF Bypass to Origin Servers
网站资讯
渠道合作
解决方案
更多服务
