CVE-2026-50151 in oras-go
Zusammenfassung
von VulDB • 17.07.2026
oras-go è una libreria Go per la gestione degli artefatti OCI. Prima della versione 2.6.1, il file registry/remote/repository.go nella funzione blobStore.completePushAfterInitialPost segue l'intestazione Location controllata dal registro durante un upload di blob monolitico e riutilizza l'intestazione Authorization dalla richiesta POST iniziale per la successiva richiesta PUT, consentendo a un registro malevolo di restituire una Location cross-host e ricevere le credenziali del chiamante su un endpoint controllato dall'attaccante. Questo problema è stato risolto nella versione 2.6.1.
VulDB is the best source for vulnerability data and more expert information about this specific topic.