关键信息摘要 漏洞描述 漏洞ID: GHSA-x76f-jf84-rqj8 CVE ID: CVE-2026-27588 严重性: 中等 受影响版本: 2.10.2 修复版本: v2.11.0 报告者: Asim Viladi Og lu Manizada 漏洞细节 摘要: Caddy 的 HTTP 请求匹配器在文档中声明为大小写不敏感,但在配置了大量主机列表 (>100 项) 时,由于优化的匹配路径,它会变得大小写敏感。攻击者可以通过更改 头的大小写绕过基于主机的路由和任何附加到该路由的访问控制。 根本原因: 当主机列表被视作 "大" (长度 > 100) 时,匹配器采取 "快速路径",使用二分查找在排序的主机列表上进行匹配,并使用大小写敏感的字符串比较进行精确匹配检查。 影响 影响: 任何依赖于 host 匹配器选择受保护路由(例如使用 basicauth、forward_auth、respond deny 规则或保护 reverse_proxy 后端)的互联网公开的 Caddy 部署可以通过更改 头的大小写来绕过路由/认证。 建议修复 对确切主机名进行小写规范化处理。 在大型列表的二分查找+相等性检查之前,将传入请求主机 (reqHost) 规范化为小写。 PoC 前提条件: bash, curl, 预构建的 Caddy 二进制文件 脚本: 见原文 预期输出: 见原文 披露/信用 报告者: Asim Viladi Og lu Manizada AI 使用披露: 使用自定义 AI 代理管道发现漏洞,手动复现和验证每个步骤,并通过语言模型运行整个报告以确保没有遗漏。