nghttp2 的 nghttpx 代理（版本 1.69.0 及之前）在处理 HTTP/1.1 Upgrade 请求时存在一个漏洞。当请求同时携带 Content-Length 头部和请求体时，代理会将该请求转发到可复用的后端 keep-alive 连接上，但错误地重新添加了 Upgrade 和 Connection 头部，同时原样传递 Content-Length 头部。这导致后端接收到一个语义模糊的请求：Upgrade 和 Content-Length 同时存在，标准 HTTP 规范禁止这种情况。恶意攻击者可以利用这一歧义，构造一个恶意请求，使得后端以攻击者希望的方式解析消息，从而实现 HTTP 请求/响应走私（Request Smuggling）和跨客户端响应队列中毒（Cross-Client Response-Queue Poisoning）。具体来说，攻击者可以通过精心设计的请求，使得一个后端连接上的多个客户端请求相互干扰，将本应返回给其他客户端的响应投送到攻击者控制的客户端，窃取敏感信息或劫持会话。CVSS 评分为 5.4（中等风险），攻击复杂度较高（需要特殊构造）且需要网络访问，但无需认证。该漏洞影响所有使用 nghttpx 作为正向或反向代理的场景。