CVE-2026-32301 — Centrifugo: SSRF via unverified JWT claims interpolated into dynamic JWKS endpoi · VulnScope

CVE-2026-32301

Centrifugo: SSRF via unverified JWT claims interpolated into dynamic JWKS endpoint URL in github.com/centrifugal/centrifugo

9.3

CRITICAL

CVSS 3.1

EPSS 0.11%

描述

Centrifugo: SSRF via unverified JWT claims interpolated into dynamic JWKS endpoint URL in github.com/centrifugal/centrifugo

如何修補 CVE-2026-32301

要修補 CVE-2026-32301,請將受影響套件升級到下列已修補版本。

Go/github.com/centrifugal/centrifugo—未列出修補版本
—未列出修補版本
—未列出修補版本
—未列出修補版本
—未列出修補版本
—未列出修補版本
—未列出修補版本
—未列出修補版本
—升級至 6.7.0 或更新版本
—升級至 6.7.0 或更新版本

CVE-2026-32301 正在被利用嗎?

低 — EPSS 為 0.1%,目前沒有觀察到大規模利用活動。

受影響套件(10)

from 0, <= 2.4.0
from 0
from 0, <= 3.2.3
from 0
from 0, <= 4.1.5
from 0
from 0
from 0, <= 5.4.9
from 0, < 6.7.0
from 0, < 6.7.0

CVSS 分數

來源	版本	嚴重程度	向量
osv	CVSS 3.1	CRITICAL9.3	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:N

參考連結(4)