CVE-2026-50196— Steeltoe.Discovery.Eureka 数据中心名称导致注册表获取失败漏洞
可能的 ATT&CK 技术 1AI
T1190 · Exploit Public-Facing Application影响版本矩阵 2
| 厂商 | 产品 | 版本范围 | 状态 |
|---|---|---|---|
| SteeltoeOSS | Steeltoe.Discovery.Eureka | >= 4.0.0, < 4.2.0 | affected |
< 3.4.0 | affected |
获取后续新漏洞提醒登录后订阅
一、 漏洞 CVE-2026-50196 基础信息
漏洞信息
对漏洞内容有疑问?看看神龙的深度分析是否有帮助!
查看神龙十问 ↗ 尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。
Vulnerability Title
Steeltoe.Discovery.Eureka: Unrecognized DataCenterInfo.Name poisons entire registry fetch
来源: 美国国家漏洞数据库 NVD
Vulnerability Description
Steeltoe is an open source project that provides a collection of libraries that helps users build cloud-native applications. In Steeltoe.Discovery.Eureka prior to versions 4.2.0 and 3.4.0, `DataCenterInfo.FromJson` throws `ArgumentException` for any `name` value other than `"MyOwn"` or `"Amazon"`, despite the Java Eureka specification defining a third valid value: `"Netflix"`. The exception propagates through the entire registry deserialization chain and is swallowed by the periodic cache refresh task, leaving the local service registry permanently empty or stale. Versions 4.2.0 and 3.4.0 patch the issue. If an immediate upgrade is not possible, remove any registrations using unsupported `DataCenterInfo.name` values from the registry. In mixed Java/Spring and Steeltoe environments, audit for the `Netflix` data center type before deploying Steeltoe Eureka clients.
来源: 美国国家漏洞数据库 NVD
CVSS Information
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
来源: 美国国家漏洞数据库 NVD
Vulnerability Type
输入验证不恰当
来源: 美国国家漏洞数据库 NVD
受影响产品
| 厂商 | 产品 | 影响版本 | CPE | 订阅 |
|---|---|---|---|---|
| SteeltoeOSS | Steeltoe.Discovery.Eureka | >= 4.0.0, < 4.2.0 | - |
二、漏洞 CVE-2026-50196 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
AI 生成 POC高级
未找到公开 POC。
登录以生成 AI POC三、漏洞 CVE-2026-50196 的情报信息
请登录查看更多情报信息。
CVE-2026-50196 补丁与修复 (2)
CVE-2026-50196 厂商安全公告 (1)
同批安全公告 · SteeltoeOSS · 2026-06-17 · 共 7 条
| CVE-2026-50194 | 8.2 HIGH | Steeltoe 通过欺骗Host头绕过管理端口隔离 |
| CVE-2026-50200 | 7.5 HIGH | Steeltoe 环境清理器未清除连接字符串导致数据库密码泄露 |
| CVE-2026-50201 | 6.5 MEDIUM | Steeltoe敏感执行器仅需受限权限 |
| CVE-2026-50202 | 5.9 MEDIUM | Steeltoe JWKS缓存共享且未失效漏洞 |
| CVE-2026-50267 | 4.7 MEDIUM | Steeltoe TLS 私钥默认权限写入/tmp且未删除 |
| CVE-2026-50268 | 1.9 LOW | Steeltoe OAEP设置静默选择PKCS#1 v1.5填充漏洞 |
IV. Related Vulnerabilities
V. Comments for CVE-2026-50196
暂无评论