En sårbarhet för HTTP request smuggling, orsakad av ett integer overflow-fel (CVE-2021-40346), har upptäckts i den populära open source load balancern HAProxy. Sårbarheten tillåter angripare att kringgå åtkomstkontrollistor (ACLs) och potentiellt kapa användarsessioner, komma åt känslig data eller utnyttja XSS-sårbarheter. Felet har åtgärdats i HAProxy versionerna 2.0.25, 2.2.17, 2.3.14 och 2.4.4, och en tillfällig lösning har också tillhandahållits för användare som inte omedelbart kan uppdatera. Forskningen belyser en återupplivning av HTTP request smuggling-tekniker, med liknande sårbarheter som nyligen presenterats på Black Hat USA, inklusive attacker mot HTTP/2-infrastruktur och h2c smuggling.