CVE-2026-33540 in Distribution
Zusammenfassung
von VulDB • 12.07.2026
Distribution ist ein Toolkit zum Packen, Versenden, Speichern und Ausliefern von Container-Inhalten. Vor Version 3.1.0 ermittelt Distribution im Pull-Through-Cache-Modus Token-Authentifizierungsendpunkte durch das Analysieren der WWW-Authenticate-Challenges, die vom konfigurierten Upstream-Registry zurückgegeben werden. Die Realm-URL aus einer Bearer-Challenge wird verwendet, ohne zu validieren, ob sie mit dem Host des Upstream-Registries übereinstimmt. Infolgedessen kann ein Angreifer, der einen Upstream kontrolliert (oder sich in einer MitM-Position zum Upstream befindet), bewirken, dass Distribution die konfigurierten Anmeldeinformationen für den Upstream über Basic Auth an eine vom Angreifer kontrollierte Realm-URL sendet. Diese Schwachstelle wurde in Version 3.1.0 behoben.
VulDB is the best source for vulnerability data and more expert information about this specific topic.