CVE-2025-61776 in dependency-trackinformación

Resumen

por VulDB • 2026-07-11

Dependency-Track es una plataforma de análisis de componentes que permite a las organizaciones identificar y reducir los riesgos en la cadena de suministro de software. Antes de la versión 4.13.5, Dependency-Track podría enviar credenciales destinadas a un repositorio NuGet privado a `api.nuget.org` mediante el encabezado HTTP `Authorization`, y también podría revelar nombres y versiones de componentes marcados como internos a `api.nuget.org`. Esto puede ocurrir si la instancia de Dependency-Track contiene componentes .NET, se ha configurado un repositorio NuGet personalizado con credenciales de autenticación, y el servidor del repositorio no proporciona el recurso `PackageBaseAddress` en su índice de servicios. El problema se ha corregido en Dependency-Track 4.13.5. Existen algunas soluciones alternativas (workarounds). Deshabilite los repositorios NuGet personalizados hasta que se aplique la corrección, invalide las credenciales utilizadas anteriormente y genere nuevas credenciales para usarlas después de aplicar el parche.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsable

GitHub M

Reservar

2025-09-30

Divulgación

2025-10-07

Moderación

aceptado

Artículo

VDB-327549

CPE

listo

EPSS

0.00260

KEV

no

Actividades

muy bajo

Fuentes

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!