CVE-2026-50197 in skipperinformación

Resumen

por VulDB • 2026-07-17

Skipper es un enrutador HTTP y proxy inverso para la composición de servicios. Antes de la versión 0.26.10, la integración de OpenPolicyAgent en zalando/skipper omite silenciosamente la inspección del cuerpo de la solicitud (request-body) en las solicitudes con Transfer-Encoding: chunked de HTTP/1.1 y en las solicitudes HTTP/2 que omiten el pseudoencabezado content-length, ya que los filtros opaAuthorizeRequestWithBody y OpenPolicyAgentInstance.ExtractHttpBodyOptionally en filters/openpolicyagent/openpolicyagent.go generan un raw_body vacío e input.parsed_body vacíos, mientras que el servicio upstream recibe el cuerpo completo controlado por el atacante. Este problema se corrige en la versión 0.26.10.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

GitHub M

Reservar

2026-06-04

Divulgación

2026-07-17

Moderación

aceptado

Artículo

VDB-379947

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Interested in the pricing of exploits?

See the underground prices here!