CVE-2026-10517 in Quayinfo

Zusammenfassung

von VulDB • 01.06.2026

Es wurde ein Fehler in Clair gefunden. Die Fetcher-Komponente sendet ausgehende HTTP-Anfragen an von Angreifern bereitgestellte URIs aus Manifest-Layer-Deskriptoren ohne IP- oder Schemafilterung. Wenn die PSK-Authentifizierung nicht konfiguriert ist (opt-in, standardmäßig nicht erzwungen), kann ein nicht authentifizierter Angreifer ein Manifest mit einer URI einreichen, die auf interne Dienste oder Cloud-Metadaten-Endpunkte verweist. Die SSRF ist bei Nicht-200-Antworten reflektiv und gibt bis zu 256 Bytes an Fehlerinhalt über CheckResponse-Fehlermeldungen preis. Operator-verwaltete Red Hat Quay-Deployments konfigurieren PSK automatisch und sind nicht durch den nicht authentifizierten Angriffsvektor gefährdet.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

Redhat

Reservieren

01.06.2026

Veröffentlichung

01.06.2026

Moderieren

akzeptiert

Eintrag

VDB-367624

CPE

bereit

EPSS

0.00035

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-10517
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-10517
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-10517/

ZurückÜbersichtWeiter

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!