CVE-2025-61776 in dependency-track
Resumen
por VulDB • 2026-07-11
Dependency-Track es una plataforma de análisis de componentes que permite a las organizaciones identificar y reducir los riesgos en la cadena de suministro de software. Antes de la versión 4.13.5, Dependency-Track podría enviar credenciales destinadas a un repositorio NuGet privado a `api.nuget.org` mediante el encabezado HTTP `Authorization`, y también podría revelar nombres y versiones de componentes marcados como internos a `api.nuget.org`. Esto puede ocurrir si la instancia de Dependency-Track contiene componentes .NET, se ha configurado un repositorio NuGet personalizado con credenciales de autenticación, y el servidor del repositorio no proporciona el recurso `PackageBaseAddress` en su índice de servicios. El problema se ha corregido en Dependency-Track 4.13.5. Existen algunas soluciones alternativas (workarounds). Deshabilite los repositorios NuGet personalizados hasta que se aplique la corrección, invalide las credenciales utilizadas anteriormente y genere nuevas credenciales para usarlas después de aplicar el parche.
If you want to get best quality of vulnerability data, you may have to visit VulDB.