Zurück zur Liste

Caddy CVE-2026-30852 Fix Bypass — GHSA-WWHQ-W58M-W29C

GitHub · GitHub · GHSA-WWHQ-W58M-W29C

ID
GHSA-WWHQ-W58M-W29C
Datum
Activity
Quelle
GitHub
Vendor
GitHub
Risiko
medium
CVSS
5.5

Zusammenfassung

# ## TL;DR CVE-2026-30852 fixed double expansion in `vars_regexp` when the variable key is a placeholder (e.g. `{http.vars.x}`). The fix does NOT protect literal key names (e.g. `tenant_id`). An attacker injects `{env.AWS_SECRET_ACCESS_KEY}` or `{file./etc/passwd}` via a request header → Caddy expands it on the second pass → secrets leaked in response headers. **Affected:** Caddy v2.11.0 through v2.11.2 (latest).…

Produkt

go: github.com/caddyserver/caddy/v2

Was tun?

Allgemeine, vorsichtige Schritte (bitte prüfe die offizielle Quelle für Details):

  • Prüfe Exponierung und plane Maßnahmen nach Risiko und Umfeld.
  • Identifiziere betroffene Produktversionen und prüfe, ob du betroffen bist.
  • Spiele Hersteller-Updates/Patches ein oder setze empfohlene Mitigations um.
  • Lies das offizielle Advisory für betroffene Versionen und konkrete Schritte.

Offizielles Advisory

Mehr dazu

GitHub GitHub 2026-W21