A Cloudflare corrigiu uma falha de segurança em seu sistema de validação de certificados ACME que permitia que requisições externas contornassem o Web Application Firewall (WAF) da empresa e chegassem diretamente aos servidores de origem dos sites protegidos. A brecha, descoberta em outubro de 2025 por pesquisadores da equipe FearsOff, colocava em risco a integridade de aplicações que dependem da Cloudflare para proteção contra tráfego malicioso. O problema estava relacionado ao processo de validação de certificados HTTPS por meio do protocolo ACME (Automatic Certificate Management Environment), amplamente utilizado por serviços como o Let’s Encrypt.
Durante a fase de verificação de propriedade de domínio via desafio HTTP-01, a Cloudflare deveria permitir temporariamente que certos caminhos fossem acessados, mas apenas com tokens válidos. No entanto, a lógica da plataforma permitia que quaisquer requisições direcionadas ao caminho de validação passassem pelo WAF, mesmo sem autenticação válida. Isso abria a possibilidade de que um invasor enviasse requisições arbitrárias ao endpoint de validação e, com isso, acessasse diretamente os servidores de origem dos clientes, algo que o WAF deveria impedir por padrão.
Na prática, era possível explorar esse comportamento para burlar regras de bloqueio, sondar aplicações internas ou até realizar ataques direcionados contra serviços não expostos publicamente. A Cloudflare implementou a correção em 27 de outubro de 2025, ajustando o comportamento da plataforma para que as permissões especiais do ACME sejam aplicadas apenas quando um token de desafio válido for detectado. Segundo a empresa, não há evidências de exploração maliciosa da falha, e o impacto foi mitigado antes de qualquer ataque conhecido.
