CVE-2026-58172
Kritisk

CVE-2026-58172: Kritisk sårbarhed i Ocelot API Gateway

Kritisk sårbarhed i Ocelot API Gateway lader blokerede IP-adresser omgå adgangskontrol via WebSocket-forbindelser.

CVSS Score
9.1
Offentliggjort
30/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdatér inden for 24-72 timer

Hvad er det?

Ocelot er et populært open source API Gateway-produkt (et trafikstyringsværktøj der sidder foran dine bagsystemer og kontrollerer hvem der må tale med hvad). I versioner op til og med 24.1.0 er der en fejl i den måde, Ocelot håndterer WebSocket-forbindelser (en type realtidsforbindelser brugt af f.eks. chat, notifikationer og live-data) på. Normalt blokerer Ocelot IP-adresser (netværksadresser for computere), der ikke er på tilladelseslisten. Men hvis en angriber beder om en WebSocket-forbindelse i stedet for en normal HTTP-forespørgsel, springer Ocelot fejlagtigt sikkerhedskontrollen over — og videresender anmodningen direkte til dine bagsystemer, som om den kom fra en tilladt kilde.

Hvem rammer det?

Sårbarheden rammer virksomheder og udviklere der:

  • Bruger Ocelot som API Gateway i deres .NET-baserede applikationer eller systemer
  • Har konfigureret IP-baserede adgangsbegrænsninger i Ocelot (allow/block-lister)
  • Eksponerer WebSocket-endepunkter (realtidsforbindelser) gennem Ocelot

Bruger du ikke Ocelot, eller har du ikke IP-baserede adgangsbegrænsninger konfigureret, er du ikke direkte berørt af denne specifikke sårbarhed.

Hvad kan ske?

Hvis en angriber udnytter denne sårbarhed, kan vedkommende:

  • Omgå dine adgangsbegrænsninger — selv hvis en IP-adresse er eksplicit blokeret, kan angriberen komme igennem alligevel
  • Tilgå fortrolige data — bagsystemer der burde være beskyttet kan blive eksponeret for uautoriserede parter (høj fortrolighedsrisiko)
  • Manipulere data eller funktioner — angriberen kan sende uautoriserede kommandoer til dine interne systemer (høj integritetspåvirkning)

Det er vigtigt at bemærke, at selve tjenesternes tilgængelighed (oppetid) ikke er direkte truet af denne sårbarhed — men de data og funktioner der ligger bag kan altså nås uden tilladelse.

Hvor alvorligt er det?

Sårbarheden er vurderet som kritisk med en CVSS-score på 9,1 ud af 10. Det skyldes flere faktorer:

  • Netværksbaseret angreb: Angriberen behøver ikke fysisk adgang — angrebet kan udføres over internettet
  • Lav kompleksitet: Der kræves ingen særlige tekniske færdigheder eller specielle betingelser for at udnytte fejlen
  • Ingen autentifikation nødvendig: Angriberen behøver hverken brugernavn, adgangskode eller særlige rettigheder
  • Ingen brugerinteraktion: Dine medarbejdere behøver ikke klikke på noget — angrebet sker helt automatisk

CWE-288 betegner netop denne type fejl: en sikkerhedskontrol der omgås via en alternativ adgangsvej, som i dette tilfælde er WebSocket-protokollen.

Hvad gør jeg nu?

Følg disse trin så hurtigt som muligt:

  1. Identificér om du bruger Ocelot: Spørg din IT-ansvarlige eller udvikler om jeres systemer anvender Ocelot som API Gateway, og hvilken version der kører.
  2. Opdatér til den rettede version: Fejlen er udbedret i commit f156fd4 i Ocelots kildekode. Sørg for at jeres Ocelot-installation er opdateret til en version der indeholder denne rettelse (efter 24.1.0).
  3. Gennemgå jeres IP-adgangslister: Bekræft at jeres allow/block-lister er konfigureret korrekt efter opdateringen, og at de nu også gælder for WebSocket-forbindelser.
  4. Overvåg for mistænkelig aktivitet: Gennemgå logfiler fra perioden før opdateringen for usædvanlige WebSocket-forbindelser fra IP-adresser der burde have været blokeret.
  5. Vurder eksponering: Har I WebSocket-endepunkter eksponeret mod internettet via Ocelot? I så fald er risikoen størst — prioritér opdateringen derefter.
Tidsfrist

Opdatér inden for 24-72 timer

Sådan ser Auroa det

Med en CVSS-score på 9,1 og en fejl der kan udnyttes uden særlige tekniske forudsætninger, anbefaler vi at I behandler dette som en hasteopgave. Kontakt jeres IT-leverandør eller interne udvikler i dag og få bekræftet om I bruger Ocelot — og i hvilken version. Rettelsen er allerede tilgængelig, så der er ingen grund til at vente. Opdatér hurtigst muligt og tjek efterfølgende jeres logs for tegn på misbrug.

Tidslinje

30/06/2026
CVE offentliggjort
CVE-2026-58172 offentliggøres i National Vulnerability Database (NVD) med en kritisk CVSS-score på 9,1. Sårbarheden beskrives som en sikkerhedskontrol-bypass via WebSocket-forbindelser i Ocelot op til version 24.1.0.
30/06/2026
Rettelse tilgængelig
Fejlen er allerede udbedret i Ocelots officielle kildekode ved commit f156fd4, som tilføjer SecurityMiddleware til WebSocket-pipeline-grenen i OcelotPipelineExtensions.cs.
30/06/2026
Detaljer offentligt kendte
Den tekniske beskrivelse af sårbarhedens nøjagtige placering i koden (MapWhen i OcelotPipelineExtensions.cs) er offentligt tilgængelig, hvilket gør det lettere for angribere at udvikle udnyttelsesmetoder.
01/07/2026
Forventet øget udnyttelsesrisiko
Med offentligt tilgængelige tekniske detaljer forventes det, at proof-of-concept kode (demonstrationskode der viser hvordan angrebet udføres) vil cirkulere inden for kort tid, hvilket øger risikoen for aktiv udnyttelse.

Konkrete eksempler

Angriber omgår IP-blokering mod internt adminsystem

En virksomhed har konfigureret Ocelot til kun at tillade adgang til deres interne administrationsAPI fra specifikke kontor-IP-adresser. En angriber fra en fremmed IP-adresse sender en WebSocket-opgraderingsanmodning i stedet for en normal HTTP-forespørgsel. Ocelot springer sikkerhedskontrollen over og videresender anmodningen direkte til administrationssystemet — angriberen kan nu læse og ændre data, som om vedkommende sad på kontoret.

Automatiseret scanning udnytter åbningen

Et automatiseret hackerværktøj scanner internettet for Ocelot-installationer og forsøger systematisk at sende WebSocket-opgraderingsanmodninger mod kendte API-endepunkter. Fordi angrebet kræver ingen autentifikation og lav teknisk kompleksitet, kan scanning og udnyttelse ske fuldt automatisk uden menneskelig indgriben fra angriberens side — virksomheden opdager det måske slet ikke, før data allerede er blevet tilgået.

Konkurrent eller insider tilgår forretningskritiske data

En tidligere medarbejder eller ekstern konkurrent kender virksomhedens API-struktur og ved at deres IP-adresse er blokeret. Ved at skifte til en WebSocket-forbindelsesanmodning omgår vedkommende blokeringen og tilgår f.eks. kundedata, prislister eller ordrehistorik fra bagsystemerne. Fortrolige forretningsoplysninger kan dermed eksfiltreres (kopieres ud) uden at de normale adgangskontroller slår til.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
NONE

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

CWE-svaghedstyper

CWE-288

Original NVD-beskrivelse (engelsk)

Ocelot through 24.1.0, fixed in commit f156fd4, contains a security control bypass vulnerability that allows denied clients to circumvent IP-based access restrictions by sending WebSocket upgrade requests. The WebSocket upgrade pipeline branch configured via MapWhen in OcelotPipelineExtensions.cs omits SecurityMiddleware, causing requests from blocked IP addresses to be proxied to downstream services without enforcement of the configured allow/block list.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
9.1
Visning
Hurtige fakta
CVE-ID
CVE-2026-58172
Offentliggjort
30/06/2026
Sidst opdateret
30/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdatér inden for 24-72 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.