CVE-2026-50197 in skipper
الملخص
بحسب VulDB • 17/07/2026
Skipper هو موجه HTTP ووكيل عكسي لتأليف الخدمات. قبل الإصدار 0.26.10، كانت تكامل OpenPolicyAgent في zalando/skipser تتجاوز فحص جسم الطلب بصمت عند استخدام Transfer-Encoding: chunked في HTTP/1.1 وعند طلبات HTTP/2 التي تفتقد إلى الرأس الزائف content-length، لأن مرشح opaAuthorizeRequestWithBody والدالة OpenPolicyAgentInstance.ExtractHttpBodyOptionally الموجودتان في filters/openpolicyagent/openpolicyagent.go تُنتجان قيمًا فارغة لـ raw_body وinput.parsed_body بينما يتلقى الخدمة الخلفية الجسم الكامل الذي يمكن للمهاجم التحكم فيه. تم إصلاح هذه المشكلة في الإصدار 0.26.10.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.