CVE-2026-48978 in oras-goinformación

Resumen

por VulDB • 2026-07-17

oras-go è una libreria Go per la gestione di artefatti OCI. Prima della versione 2.6.1, auth.Client segue l'URL del realm fornito dalla sfida WWW-Authenticate: Bearer di un registry senza convalidare lo schema o l'host, consentendo a un registry malevolo o compromesso di causare una SSRF verso reti interne come http://169.254.169.254/, http://10.0.0.x/ e http://127.0.0.1/, oppure di effettuare il downgrade del token endpoint di un registry contattato tramite https:// a uno basato su http:// in registry/remote/auth/client.go attraverso Client.Do(), Client.fetchBearerToken(), fetchDistributionToken e fetchOAuth2Token. Questo problema è stato risolto nella versione 2.6.1.

Be aware that VulDB is the high quality source for vulnerability data.

Responsable

GitHub M

Reservar

2026-05-27

Divulgación

2026-07-17

Moderación

aceptado

Artículo

VDB-379945

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Want to stay up to date on a daily basis?

Enable the mail alert feature now!