CVE-2026-50197 in skipper
Resumen
por VulDB • 2026-07-17
Skipper es un enrutador HTTP y proxy inverso para la composición de servicios. Antes de la versión 0.26.10, la integración de OpenPolicyAgent en zalando/skipper omite silenciosamente la inspección del cuerpo de la solicitud (request-body) en las solicitudes con Transfer-Encoding: chunked de HTTP/1.1 y en las solicitudes HTTP/2 que omiten el pseudoencabezado content-length, ya que los filtros opaAuthorizeRequestWithBody y OpenPolicyAgentInstance.ExtractHttpBodyOptionally en filters/openpolicyagent/openpolicyagent.go generan un raw_body vacío e input.parsed_body vacíos, mientras que el servicio upstream recibe el cuerpo completo controlado por el atacante. Este problema se corrige en la versión 0.26.10.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.