A Cloudflare anunciou a correção de uma vulnerabilidade crítica em sua lógica de validação do ACME (Automatic Certificate Management Environment), que poderia permitir a evasão de controles de segurança e o acesso direto aos servidores de origem, contornando proteções essenciais, incluindo o Web Application Firewall (WAF).
Segundo a empresa, o problema estava relacionado à forma como a rede de borda (edge network) processava requisições para o caminho do desafio ACME HTTP-01 (/.well-known/acme-challenge/*). Apesar da gravidade, a Cloudflare afirmou não ter identificado exploração maliciosa da falha em ambientes reais.
O ACME é um protocolo padronizado (RFC 8555) utilizado por autoridades certificadoras (CAs) para automatizar a emissão, renovação e revogação de certificados SSL/TLS. O processo exige a comprovação de controle do domínio pelo solicitante, normalmente realizada via clientes ACME como Certbot, utilizando desafios HTTP-01 ou DNS-01.
No caso do HTTP-01, a CA realiza uma requisição HTTP GET a um endereço específico do domínio para verificar se o token fornecido corresponde ao desafio. Quando a solicitação é gerenciada pela Cloudflare, a plataforma responde automaticamente com o token correto. Caso contrário, a requisição é encaminhada ao servidor de origem do cliente, que aplica outro mecanismo de validação.
A vulnerabilidade, identificada pela empresa FearsOff em outubro de 2025, explorava essa lógica. Em determinados cenários, requisições para o caminho do ACME desativavam o WAF, permitindo que tráfego potencialmente malicioso alcançasse diretamente o servidor de origem.
O problema ocorria porque a validação não verificava se o token correspondia a um desafio ACME ativo para aquele hostname específico. Isso poderia permitir que invasores enviassem requisições arbitrárias ao endpoint ACME, contornando o WAF e acessando o ambiente de origem.
Antes da correção, sempre que a Cloudflare detectava uma requisição aparentemente válida para um desafio HTTP-01, o WAF era automaticamente desativado para evitar interferência na emissão ou renovação de certificados. O risco surgia quando o token era válido para outra zona ou domínio não gerenciado diretamente, permitindo passagem do tráfego sem inspeção.
De acordo com Kirill Firsov, CEO da FearsOff, a falha poderia possibilitar que invasores utilizassem tokens previsíveis e de longa duração para acessar arquivos sensíveis e realizar reconhecimento em servidores protegidos pela Cloudflare.
A atualização foi aplicada em 27 de outubro de 2025. Com a correção, a Cloudflare agora desativa o WAF apenas quando a requisição corresponde exatamente a um desafio ACME HTTP-01 válido e ativo para o hostname correto, eliminando o vetor de bypass e reforçando a segurança dos servidores de origem.
