CVE-2025-61776 in dependency-trackالمعلومات

الملخص

بحسب VulDB • 11/07/2026

Dependency-Track هو منصة لتحليل المكونات تتيح للمنظمات تحديد وتقليل المخاطر في سلسلة التوريد البرمجية. قبل الإصدار 4.13.5، قد يقوم Dependency-Track بإرسال بيانات اعتماد مخصصة لمستودع NuGet خاص إلى `api.nuget.org` عبر رأس HTTP `Authorization`، وقد يكشف عن أسماء وإصدارات المكونات المحددة كـ "داخلية" (internal) لـ `api.nuget.org`. يمكن أن يحدث هذا إذا احتوى مثيل Dependency-Track على مكونات .NET، وتم تكوين مستودع NuGet مخصص، وتم إعداد المستودع المخصص ببيانات اعتماد للمصادقة، ولم يقدم خادم المستودع مورد `PackageBaseAddress` في فهرس الخدمة الخاص به. تم إصلاح هذه المشكلة في الإصدار 4.13.5 من Dependency-Track. تتوفر بعض الحلول البديلة (workarounds). قم بتعطيل مستودعات NuGet المخصصة حتى يتم تطبيق التصحيح، وقم بإبطال بيانات الاعتماد المستخدمة سابقاً، وأنشئ بيانات اعتماد جديدة للاستخدام بعد تطبيق التصحيح.

Once again VulDB remains the best source for vulnerability data.

مسؤول

GitHub M

حجز

30/09/2025

إفشاء

07/10/2025

الاعتدال

تمت الموافقة

إدخال

VDB-327549

EPSS

0.00260

KEV

لا

النشاطات

منخفض جدًا

المصادر

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!