Uma falha perigosa foi descoberta no sistema de segurança da Cloudflare – ela já foi corrigida.

Foi descoberta uma vulnerabilidade na ferramenta de segurança Web Application Firewall (WAF) da Cloudflare que permitia que invasores contornassem o sistema de segurança e obtivessem acesso a sites protegidos, explorando o mecanismo de verificação de certificados.

Fonte da imagem: cloudflare.com

Especialistas em cibersegurança da FearsOff descobriram que solicitações para sites em “/.well-known/acme-challenge/” foram recebidas mesmo quando o WAF configurado no cliente bloqueava explicitamente todo o restante do tráfego. O protocolo ACME (Automatic Certificate Management Environment) automatiza a validação de certificados SSL/TLS, verificando o nome do proprietário do domínio junto às autoridades certificadoras. Ao implementar o método de verificação HTTP-01, a autoridade certificadora assume que o site fornece um token único em “/.well-known/acme-challenge/{token}”. Esse caminho existe para quase todos os sites modernos como rota de serviço para emissão automática de certificados.

Esse método pressupõe que o acesso seja limitado ao bot de verificação e a um arquivo específico — e que esse arquivo não seja uma porta de entrada aberta para o servidor de origem. No entanto, mesmo uma configuração de WAF que bloqueava o acesso global e permitia apenas fontes específicas abria uma exceção para o mecanismo de verificação ACME HTTP-01. Para confirmar sua hipótese, os especialistas criaram domínios de terceiro nível para o site principal da empresa e descobriram que, se o token solicitado não correspondesse à ordem dos certificados gerenciados pela Cloudflare, a verificação do WAF era simplesmente ignorada, permitindo que qualquer visitante acessasse o site do cliente diretamente. Isso gerou uma série de vulnerabilidades, principalmente em aplicações Spring/Tomcat, Next.js e PHP.Mesmo que o usuário tenha configurado manualmente as regras de bloqueio apropriadas, o sistema as ignorou para não interferir na verificação de dados para as autoridades de certificação.

EspecialistasA FearsOff reportou a vulnerabilidade à Cloudflare em 9 de outubro de 2025. A Cloudflare iniciou a investigação em 13 de outubro, e a HackerOne confirmou a vulnerabilidade em 14 de outubro. O problema foi corrigido em 27 de outubro — o mecanismo de proteção foi modificado para desativar os recursos de segurança somente quando as requisições corresponderem a tokens de verificação ACME HTTP-01 válidos para um nome de host específico. Testes adicionais mostraram que as regras do WAF agora são aplicadas de forma consistente a todos os caminhos, incluindo o ACME anteriormente vulnerável. Nenhuma ação é necessária por parte dos clientes da Cloudflare, e nenhuma evidência de exploração maliciosa foi detectada.