Katalog CVE

CVE-2026-50196

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.34%

Percentyl 26 — wyżej niż 26% wszystkich znanych CVE

Streszczenie

W Steeltoe.Discovery.Eureka przed wersjami 4.2.0 i 3.4.0, metoda `DataCenterInfo.FromJson` generuje wyjątek `ArgumentException` dla wartości `name` innych niż 'MyOwn' lub 'Amazon', co prowadzi do problemów z deserializacją rejestru usług.

Ocena ryzyka

Organizacje mogą doświadczyć problemów z dostępnością lokalnego rejestru usług, co może prowadzić do awarii aplikacji w chmurze. Pusty lub nieaktualny rejestr może wpłynąć na działanie usług zależnych.

Rekomendacja

Zaleca się aktualizację do wersji 4.2.0 lub 3.4.0, aby usunąć tę podatność. Jeśli aktualizacja nie jest możliwa, należy usunąć rejestracje z nieobsługiwanymi wartościami `DataCenterInfo.name` z rejestru.

Oryginalny opis (angielski, źródło NVD)

Steeltoe is an open source project that provides a collection of libraries that helps users build cloud-native applications. In Steeltoe.Discovery.Eureka prior to versions 4.2.0 and 3.4.0, `DataCenterInfo.FromJson` throws `ArgumentException` for any `name` value other than `"MyOwn"` or `"Amazon"`, despite the Java Eureka specification defining a third valid value: `"Netflix"`. The exception propagates through the entire registry deserialization chain and is swallowed by the periodic cache refresh task, leaving the local service registry permanently empty or stale. Versions 4.2.0 and 3.4.0 patch the issue. If an immediate upgrade is not possible, remove any registrations using unsupported `DataCenterInfo.name` values from the registry. In mixed Java/Spring and Steeltoe environments, audit for the `Netflix` data center type before deploying Steeltoe Eureka clients.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS