Cloudflare Fixes ACME Validation Bug Allowing WAF Bypass to Origin Servers

Cloudflare hat eine Sicherheitslücke in seiner ACME-Zertifikatsverwaltung behoben, die es Angreifern ermöglichte, Sicherheitskontrollen zu umgehen und direkten Zugriff auf ursprüngliche Server zu erlangen. Das Problem lag in der fehlerhaften Verarbeitung von Anfragen an den ACME HTTP-01 Challenge-Pfad (/.well-known/acme-challenge/*) durch Cloudflares Edge-Netzwerk. Betroffen waren alle Kunden, die Cloudflare als Web Application Firewall (WAF) vor ihren Servern einsetzen. Die Schwachstelle wurde bereits von Cloudflare geschlossen, Nutzer sollten jedoch ihre Logs auf verdächtige Aktivitäten überprüfen.