Panne Cloudflare du 5 décembre 2025 liée à un bug WAF lors d’une mitigation React

Selon Cloudflare (blog), un incident de disponibilité le 5 décembre 2025 a provoqué des erreurs HTTP 500 durant ~25 minutes, sans cyberattaque, lors d’un changement de configuration du WAF effectué pour protéger contre la vulnérabilité critique CVE-2025-55182 affectant React Server Components.

• Impact: ~28 % du trafic HTTP servi par Cloudflare touché entre 08:47 et 09:12 UTC. Les clients impactés étaient ceux dont le trafic passait par l’ancien proxy FL1 avec les Cloudflare Managed Rulesets activés; presque toutes les requêtes renvoyaient HTTP 500, à l’exception de quelques endpoints de test (ex.: /cdn-cgi/trace). Le réseau Chine n’a pas été impacté. ⏱️

• Déclencheur opérationnel: Pour mitiger CVE-2025-55182, Cloudflare augmentait le buffer d’analyse du corps HTTP du WAF de 128 KB à 1 MB (aligné sur Next.js). Un outil interne de test du WAF ne supportant pas cette taille, une seconde modification a été poussée via le système de configuration global pour désactiver ces tests.

• Cause racine technique: L’application d’un killswitch à une règle dont l’action était ’execute’ a fait sauter l’évaluation du sous-ruleset, mais le code traitant le résultat présumait l’existence de l’objet rule_result.execute, provoquant une exception Lua (nil dereference) et des erreurs 500 dans le proxy FL1:

  • Exception: “attempt to index field ’execute’ (a nil value)”
  • Ce bug existait depuis des années; il n’apparaît pas dans le proxy FL2 réécrit en Rust.

• Déploiement et rollback: La première modification (taille de buffer) suivait un déploiement progressif; la seconde (désactivation des tests) a été propagée globalement en quelques secondes, un mécanisme déjà sous revue après l’incident du 18 novembre 2025. Revert à 09:12 UTC, restauration complète du trafic.

• Suite et résilience: Cloudflare annonce des chantiers en cours et priorisés: déploiements et versioning renforcés (avec validation d’état et rollback rapide), capacités ‘break glass’ pour opérations critiques, et gestion d’erreurs en fail-open sur les composants data-plane (avec options fail-open/fail-closed selon les services). En attendant, un gel des changements réseau est appliqué et un détail complet des projets de résilience sera publié la semaine suivante. Article de type post-mortem d’incident expliquant la cause, l’impact, la timeline et les actions correctives.

IOCs/TTPs:

• Aucune donnée d’IOC ou TTP n’est mentionnée (incident non lié à une attaque).

🔗 Source originale : https://blog.cloudflare.com/5-december-2025-outage/