目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1336

100%

CVE-2026-58172— Three Mammals Ocelot 授权问题漏洞

CVSS 9.1 · Critical EPSS 0.41% · P33

影响版本矩阵 2

厂商产品版本范围状态
ThreeMammalsOcelot≤ 24.1.0affected
f156fd4017ca25025fffdad8ec56c1d657dfb402unaffected
获取后续新漏洞提醒登录后订阅

一、 漏洞 CVE-2026-58172 基础信息

漏洞信息

对漏洞内容有疑问?看看神龙的深度分析是否有帮助!
查看神龙十问 ↗

尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。

Vulnerability Title
Ocelot - IP Allow/Block List Bypass for WebSocket Upgrade Requests
来源: 美国国家漏洞数据库 NVD
Vulnerability Description
Ocelot through 24.1.0, fixed in commit f156fd4, contains a security control bypass vulnerability that allows denied clients to circumvent IP-based access restrictions by sending WebSocket upgrade requests. The WebSocket upgrade pipeline branch configured via MapWhen in OcelotPipelineExtensions.cs omits SecurityMiddleware, causing requests from blocked IP addresses to be proxied to downstream services without enforcement of the configured allow/block list.
来源: 美国国家漏洞数据库 NVD
CVSS Information
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
来源: 美国国家漏洞数据库 NVD
Vulnerability Type
使用候选路径或通道进行的认证绕过
来源: 美国国家漏洞数据库 NVD
Vulnerability Title
Three Mammals Ocelot 授权问题漏洞
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Description
Three Mammals Ocelot是Three Mammals组织的一款用于实现API网关、请求路由、身份认证与服务聚合的.NET网关框架。 Three Mammals Ocelot 24.1.0及之前版本存在授权问题漏洞,该漏洞源于WebSocket升级管道分支忽略了SecurityMiddleware,导致已拒绝的客户端通过发送WebSocket升级请求绕过基于IP的访问限制,将请求代理到下游服务而未执行配置的允许/阻止列表。
来源: 中国国家信息安全漏洞库 CNNVD
CVSS Information
N/A
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Type
N/A
来源: 中国国家信息安全漏洞库 CNNVD

受影响产品

厂商产品影响版本CPE订阅
ThreeMammalsOcelot 0 ~ 24.1.0 -

二、漏洞 CVE-2026-58172 的公开POC

#POC 描述源链接神龙链接
AI 生成 POC高级
Qwen3.6-35B-A3B · 6373 chars
Pro+ 专属包含:
漏洞复现靶场录像(真实沙箱构建 + 触发,独家)
漏洞原理深度分析
触发条件与影响面
完整可执行 POC 代码
利用链与缓解建议
POC 打包下载
每月 100+ 条 AI 生成额度

三、漏洞 CVE-2026-58172 的情报信息

登录查看更多情报信息。

CVE-2026-58172 补丁与修复 (1)

CVE-2026-58172 厂商安全公告 (1)

CVE-2026-58172 公开利用代码 (1)

IV. Related Vulnerabilities

V. Comments for CVE-2026-58172

暂无评论


发表评论