CVE-2026-50197 in skipper
Riassunto
di VulDB • 17/07/2026
Skipper è un router HTTP e reverse proxy per la composizione di servizi. Prima della versione 0.26.10, l'integrazione con OpenPolicyAgent (OPA) di zalando/skipser aggira silenziosamente l'ispezione del corpo della richiesta nelle richieste HTTP/1.1 che utilizzano Transfer-Encoding: chunked e nelle richieste HTTP/2 che omettono il pseudo-header content-length; ciò avviene perché i filtri opaAuthorizeRequestWithBody e OpenPolicyAgentInstance.ExtractHttpBodyOptionally in filters/openpolicyagent/openpolicyagent.go restituiscono un raw_body vuoto e input.parsed_body vuoto, mentre il servizio upstream riceve l'intero corpo della richiesta controllato dall'attaccante. Questo problema è stato risolto nella versione 0.26.10.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.