Sebuah celah keamanan serius sempat muncul di layanan proteksi web milik Cloudflare dan berpotensi membuka akses langsung ke server inti banyak situs web tanpa melewati lapisan pengamanan. Kerentanan ini tergolong zero-day karena belum diketahui publik saat pertama kali ditemukan dan dapat dimanfaatkan sebelum perbaikan dirilis.
Masalah ini berakar pada komponen Web Application Firewall atau WAF, sistem yang biasanya menjadi garda terdepan dalam menyaring lalu lintas berbahaya sebelum mencapai server utama. Dalam kondisi normal, aturan WAF memungkinkan pemilik situs membatasi akses secara ketat, bahkan menutup seluruh permintaan kecuali dari sumber tertentu. Namun, celah ini membuat sebagian permintaan dapat melewati semua aturan tersebut.
Konteks teknisnya berkaitan dengan mekanisme otomatis penerbitan sertifikat SSL atau TLS yang digunakan hampir semua situs modern. Proses ini memakai protokol ACME, di mana otoritas sertifikat perlu memastikan bahwa sebuah domain benar-benar dimiliki oleh pihak yang mengajukan sertifikat. Untuk keperluan itu, sistem akan mengakses jalur khusus bernama /.well-known/acme-challenge/ yang memang disediakan di hampir setiap situs, biasanya tanpa disadari pemiliknya.
Secara desain, jalur tersebut hanya dimaksudkan untuk satu tugas sempit, yaitu melayani sebuah file verifikasi sementara kepada bot validasi sertifikat. Jalur ini tidak pernah dirancang sebagai pintu masuk umum ke server. Namun, peneliti keamanan menemukan bahwa permintaan ke jalur ini justru dapat menembus perlindungan WAF Cloudflare dan langsung diteruskan ke server asal.
Temuan ini muncul ketika peneliti menguji aplikasi dengan konfigurasi keamanan sangat ketat, di mana semua akses publik seharusnya diblokir. Hasil pengujian menunjukkan bahwa permintaan biasa ditolak sebagaimana mestinya, tetapi permintaan melalui jalur verifikasi sertifikat menghasilkan respons langsung dari aplikasi di belakang Cloudflare. Hal ini membuktikan bahwa persoalannya bukan kesalahan konfigurasi pengguna, melainkan cacat pada logika sistem di sisi penyedia layanan.
Akar masalahnya terletak pada cara jaringan Cloudflare memperlakukan proses validasi sertifikatnya sendiri. Demi memastikan proses penerbitan sertifikat berjalan lancar, beberapa fitur keamanan dinonaktifkan sementara untuk permintaan validasi tertentu. Kesalahan fatalnya, ketika token validasi yang diminta tidak cocok dengan permintaan sertifikat yang sah, sistem tetap melewatkan pemeriksaan WAF alih-alih menghentikan permintaan tersebut. Akibatnya, pengecualian yang seharusnya sangat sempit berubah menjadi celah universal.
Dampaknya cukup luas. Berbagai jenis aplikasi web dapat dieksploitasi melalui jalur ini. Pada aplikasi berbasis Java, penyerang dapat menjangkau endpoint internal yang mengungkap variabel lingkungan, kredensial basis data, hingga kunci layanan cloud. Aplikasi berbasis JavaScript sisi server berisiko membocorkan data operasional yang seharusnya hanya terlihat secara internal. Sementara itu, aplikasi PHP dengan kelemahan tertentu dapat dimanfaatkan untuk membaca isi sistem berkas. Bahkan aturan WAF tingkat akun yang dirancang untuk memblokir permintaan berdasarkan header khusus pun dapat dilewati sepenuhnya.
Kerentanan ini dilaporkan secara bertanggung jawab melalui program bug bounty Cloudflare pada Oktober 2025. Setelah proses verifikasi internal, perbaikan permanen diterapkan beberapa minggu kemudian. Perubahan utama memastikan bahwa pengecualian keamanan hanya berlaku jika permintaan benar-benar cocok dengan token validasi sertifikat yang sah untuk nama domain terkait.
Setelah perbaikan diterapkan, pengujian lanjutan menunjukkan bahwa semua aturan WAF kembali berfungsi normal di seluruh jalur akses, termasuk jalur verifikasi sertifikat yang sebelumnya bermasalah. Cloudflare menyatakan tidak menemukan bukti adanya penyalahgunaan celah ini di dunia nyata dan menegaskan bahwa tidak diperlukan tindakan tambahan dari pihak pengguna.
Kasus ini penting karena menunjukkan bahwa bahkan jalur teknis yang jarang diperhatikan dapat menjadi titik lemah dengan dampak besar. Bagi pengelola situs dan layanan digital, insiden ini menjadi pengingat bahwa keamanan tidak hanya bergantung pada konfigurasi pengguna, tetapi juga pada implementasi internal penyedia infrastruktur. Dalam ekosistem internet yang semakin kompleks, satu pengecualian kecil dapat membuka pintu yang seharusnya tidak pernah ada.