Expertos han descubierto una vulnerabilidad en la configuración de las reglas de seguridad de Cloudflare que puede permitir a los atacantes eludir medidas de protección. El problema radica en el orden de ejecución de las reglas, donde las acciones 'terminantes' (como 'Interactive Challenge', 'JS Challenge' y 'Block') detienen la evaluación de las reglas posteriores. Esto significa que una regla de 'Block' destinada a proteger un recurso, como un endpoint de métricas, puede ser ignorada si se coloca después de una acción terminante. Al completar el desafío, el cliente recibe una 'cf_clearance' cookie que termina la evaluación de las reglas, permitiendo el acceso no autorizado.
La vulnerabilidad se debe a una falta de comprensión del orden de ejecución de las reglas por parte de los administradores de sitios web, y a una posible información engañosa en el panel de control de Cloudflare. Aunque no se ha confirmado una explotación a gran escala, el investigador advierte que esta configuración incorrecta es relativamente fácil de implementar y difícil de detectar. Se recomienda agrupar las reglas por acción resultante y ordenarlas de manera específica para asegurar una configuración segura.