CVE-2026-50194
WysokieCVSS 8.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 15 — wyżej niż 15% wszystkich znanych CVE
Streszczenie
Steeltoe to projekt open source, który dostarcza biblioteki do budowy aplikacji chmurowych. W wersjach 3.2.2 do 3.3.0 oraz 4.1.0, gdy punkty zarządzania są skonfigurowane do nasłuchiwania na alternatywnym porcie, middleware używa nagłówka HTTP `Host` zamiast rzeczywistego portu gniazda sieciowego, co prowadzi do potencjalnych luk w zabezpieczeniach.
Ocena ryzyka
Organizacje mogą być narażone na nieautoryzowany dostęp do wrażliwych punktów końcowych, co może prowadzić do ujawnienia danych lub nieautoryzowanego zarządzania aplikacjami.
Rekomendacja
Zaleca się natychmiastową aktualizację do wersji 3.4.0 lub 4.2.0. Jeśli aktualizacja nie jest możliwa, należy dodać autoryzację ASP.NET Core do wszystkich wrażliwych punktów końcowych oraz skonfigurować proxy odwrotne lub load balancer w celu egzekwowania wartości nagłówka `Host`.
Oryginalny opis (angielski, źródło NVD)
Steeltoe is an open source project that provides a collection of libraries that helps users build cloud-native applications. When Steeltoe management endpoints versions 3.2.2 through 3.3.0 and 4.1.0 are configured to listen on an alternate port (`Management:Endpoints:Port` is configured), the middleware responsible for restricting access to the endpoints uses the `Host` HTTP header rather than the actual network socket port. Versions 3.4.0 and 4.2.0 patch the issue. If an immediate upgrade to a patched version is not possible, add explicit ASP.NET Core authorization (`RequireAuthorization`) to all sensitive actuator endpoints as a defense-in-depth measure independent of port isolation and/or configure the reverse proxy or load balancer to enforce the `Host` header value and prevent clients from setting an arbitrary port.

