CVE-2026-58172
KrytyczneCVSS 9.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 33 — wyżej niż 33% wszystkich znanych CVE
Streszczenie
Podatność w Ocelot do wersji 24.1.0 (załatana w commicie f156fd4) pozwala ominąć ograniczenia dostępu oparte na adresie IP poprzez wysłanie żądania WebSocket. Gałąź potoku WebSocket zdefiniowana w OcelotPipelineExtensions.cs pomija SecurityMiddleware, przez co żądania z zablokowanych adresów IP są przekazywane do usług niższego poziomu bez egzekwowania listy dozwolonych/zablokowanych.
Ocena ryzyka
Organizacja może stracić kontrolę nad dostępem do usług backendowych, umożliwiając atakującym z zablokowanych adresów IP ominięcie zabezpieczeń i dostęp do chronionych zasobów przez WebSocket.
Rekomendacja
Należy natychmiast zaktualizować Ocelot do wersji zawierającej commit f156fd4 lub nowszej, a także zweryfikować konfigurację potoku WebSocket pod kątem obecności SecurityMiddleware.
Oryginalny opis (angielski, źródło NVD)
Ocelot through 24.1.0, fixed in commit f156fd4, contains a security control bypass vulnerability that allows denied clients to circumvent IP-based access restrictions by sending WebSocket upgrade requests. The WebSocket upgrade pipeline branch configured via MapWhen in OcelotPipelineExtensions.cs omits SecurityMiddleware, causing requests from blocked IP addresses to be proxied to downstream services without enforcement of the configured allow/block list.

