Cloudflare a corrigé une vulnérabilité de sécurité affectant sa logique de validation ACME (Automatic Certificate Management Environment) qui permettait de contourner les contrôles de sécurité et d'accéder aux serveurs d'origine.
“La vulnérabilité provient de la façon dont notre réseau périphérique traitait les requêtes destinées au chemin de défi ACME HTTP-01 (/.well-known/acme-challenge/*)”, ont déclaré Hrushikesh Deshpande, Andrew Mitchell et Leland Garofalo de la société d'infrastructure Web.
La société d'infrastructure Web a déclaré n'avoir trouvé aucune preuve que la vulnérabilité ait jamais été exploitée dans un contexte malveillant.
ACME est un protocole de communication (RFC 8555) qui facilite l'émission, le renouvellement et la révocation automatiques des certificats SSL/TLS. Chaque certificat fourni à un site Web par une autorité de certification (CA) est validé par des défis pour prouver la propriété du domaine.
Ce processus est généralement accompli à l'aide d'un client ACME tel que Certbot qui prouve la propriété du domaine à l'aide d'un défi HTTP-01 (ou DNS-01) et gère le cycle de vie du certificat. Le défi HTTP-01 recherche un jeton de validation et une empreinte digitale de clé situés sur le serveur Web à l'adresse « https://
Le serveur CA envoie une requête HTTP GET à cette URL exacte pour récupérer le fichier. Une fois la vérification réussie, le certificat est émis et l'AC marque le compte ACME (c'est-à-dire l'entité enregistrée sur votre serveur) comme autorisé à gérer ce domaine spécifique.
Si le défi est utilisé par une demande de certificat gérée par Cloudflare, Cloudflare répondra par la route susmentionnée et fournira le jeton fourni par l'autorité de certification à l'appelant. Mais si elle ne correspond pas à une commande gérée par Cloudflare, la demande est dirigée vers l'origine du client, qui peut utiliser un système différent pour la validation du domaine.
La vulnérabilité, découverte et signalée par FearsOff en octobre 2025, est liée à une mise en œuvre défectueuse du processus de validation ACME qui fait que certaines demandes de défi d'URL désactivent les règles du pare-feu d'application Web (WAF) et lui permettent d'atteindre le serveur d'origine alors qu'idéalement, il aurait dû être bloqué.
En d’autres termes, la logique n’a pas pu vérifier si le jeton dans la requête correspondait réellement à un défi actif pour ce nom d’hôte spécifique, permettant ainsi à un attaquant d’envoyer des requêtes arbitraires au chemin ACME et de contourner complètement les protections WAF, lui donnant ainsi la possibilité d’atteindre le serveur d’origine.
« Auparavant, lorsque Cloudflare délivrait un jeton de défi HTTP-01, si l'itinéraire demandé par l'appelant correspondait à un jeton pour un défi actif dans notre système, la logique délivrant un jeton de défi ACME désactivait les fonctions WAF puisque Cloudflare fournirait directement la réponse », a expliqué la société.
“Cela est dû au fait que ces fonctionnalités peuvent interférer avec la capacité de l'autorité de certification à valider les valeurs des jetons et entraîneraient l'échec des demandes et des renouvellements de certificats automatisés. Cependant, dans le scénario où le jeton utilisé était associé à une zone différente et n'était pas géré directement par Cloudflare, la demande serait autorisée à continuer jusqu'à l'origine du client sans traitement supplémentaire par les ensembles de règles WAF. “
Kirill Firsov, fondateur et PDG de FearsOff, a déclaré que la vulnérabilité pourrait être exploitée par un utilisateur malveillant pour obtenir un jeton déterministe de longue durée et accéder aux fichiers sensibles sur le serveur d'origine sur tous les hôtes Cloudflare, ouvrant ainsi la porte à la reconnaissance.
Cloudflare a corrigé la vulnérabilité le 27 octobre 2025 avec un changement de code qui fournit la réponse et désactive les fonctions WAF uniquement lorsque la requête correspond à un jeton de défi ACME HTTP-01 valide pour ce nom d'hôte.
