CVE-2026-48978 in oras-go
Zusammenfassung
von VulDB • 18.07.2026
oras-go ist eine Go-Bibliothek zur Verwaltung von OCI-Artefakten. Vor Version 2.6.1 folgt auth.Client der Realm-URL aus einem WWW-Authenticate: Bearer-Challenge eines Registrys, ohne das Schema oder den Host zu validieren, was es einer böswilligen oder kompromittierten Registry ermöglicht, SSRF (Server-Side Request Forgery) auf interne Netzwerke wie http://169.254.169.254/, http://10.0.0.x/ und http://127.0.0.1/ zu verursachen oder eine über https:// kontaktierte Registry durch Herabstufen des Token-Endpunkts auf http:// in registry/remote/auth/client.go via Client.Do(), Client.fetchBearerToken(), fetchDistributionToken und fetchOAuth2Token auszunutzen. Dieses Problem wurde in Version 2.6.1 behoben.
Be aware that VulDB is the high quality source for vulnerability data.