製品・ソフトウェアに関する情報

JVN脆弱性詳細

Envoy ProxyのEnvoyにおけるHTTP リクエストスマグリングに関する脆弱性

タイトル	Envoy ProxyのEnvoyにおけるHTTP リクエストスマグリングに関する脆弱性
概要	Envoyはクラウドネイティブアプリケーション向けに設計されたオープンソースのエッジおよびサービスプロキシです。バージョン1.35.11、1.36.7、1.37.3、および1.38.1より前のEnvoyは、トランスポート層で完了したダウンストリームのHTTP/3リクエスト（FIN付きHEADERS/ヘッダのみのクローズ）を、まだゼロ以外のContent-Lengthを持つ状態で未解決のボディ負債を抱えたまま、完全なアップストリームHTTP/1リクエストに変換する可能性があります。アップストリームHTTP/1のデプロイメントにおいて、オリジンが宣言されたボディを読み取る前に応答し、接続を再利用可能な状態にすると、次のEnvoy生成アップストリームリクエストの開始部分が最初のリクエストのボディとして消費されることがあります。そして残りのバイトはオリジンによって新しいHTTP/1リクエストとして解析されます。この問題はルートバイパス/デシンクとして再現されました。直接の/pwnはEnvoyによって拒否されましたが、2つ目のダウンストリームH3ストリームはバックエンドで解析されたGET /pwn HTTP/1.1のレスポンスを受信しました。この脆弱性はバージョン1.35.11、1.36.7、1.37.3、および1.38.1で修正されています。
想定される影響	・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。・当該ソフトウェアは停止しません。
対策	ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年6月26日0:00
登録日	2026年6月30日11:20
最終更新日	2026年6月30日11:20

CVSS3.0 : 重要
スコア	7.5
ベクター	CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:L/I:H/A:N

影響を受けるシステム

Envoy Proxy

Envoy 1.35.0 以上 1.35.13 未満

Envoy 1.36.0 以上 1.36.9 未満

Envoy 1.37.0 以上 1.37.5 未満

Envoy 1.38.0 以上 1.38.3 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-48743	https://www.cve.org/CVERecord?id=CVE-2026-48743
National Vulnerability Database (NVD)
2	CVE-2026-48743	https://nvd.nist.gov/vuln/detail/CVE-2026-48743

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-444	https://cwe.mitre.org/data/definitions/444.html

ベンダー情報

No	名前	URL
GitHub
1	HTTP/3 to HTTP/1 request smuggling via headers-only request with nonzero Content-Length Advisory envoyproxy/envoy GitHub	https://github.com/envoyproxy/envoy/security/advisories/GHSA-8phg-2h2q-jgxf

変更履歴

No	変更内容	変更日
1	[2026年06月30日] 掲載	2026年6月30日11:20

NVD脆弱性情報

CVE-2026-48743

概要	Envoy is an open source edge and service proxy designed for cloud-native applications. Prior to 1.35.11, 1.36.7, 1.37.3, and 1.38.1, Envoy can translate a downstream HTTP/3 request that is complete at the transport layer (HEADERS with FIN / headers-only close) but still carries a nonzero Content-Length into a complete upstream HTTP/1 request with unresolved body debt. In an HTTP/1 upstream deployment where the origin replies before reading the declared body and keeps the connection reusable, the beginning of the next Envoy-generated upstream request can be consumed as the first request's body. The remaining bytes are then parsed by the origin as a new HTTP/1 request. This was reproduced as a route-bypass/desync: direct /pwn was denied by Envoy, but the second downstream H3 stream received the response for backend-parsed GET /pwn HTTP/1.1. This vulnerability is fixed in 1.35.11, 1.36.7, 1.37.3, and 1.38.1.
公表日	2026年6月27日3:17
登録日	2026年6月27日4:35
最終更新日	2026年6月30日3:27

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:envoyproxy:envoy::::::::	1.35.0			1.35.13
cpe:2.3:a:envoyproxy:envoy::::::::	1.36.0			1.36.9
cpe:2.3:a:envoyproxy:envoy::::::::	1.37.0			1.37.5
cpe:2.3:a:envoyproxy:envoy::::::::	1.38.0			1.38.3

No	URL	refsource	タグ
1	https://github.com/envoyproxy/envoy/security/advisories/GHSA-8phg-2h2q-jgxf	security-advisories@github.com
2	https://github.com/envoyproxy/envoy/security/advisories/GHSA-8phg-2h2q-jgxf	134c704f-9b21-4f2e-91b3-4a467353bcc0