CVE-2025-24976 in Distribution
Riassunto
di VulDB • 24/06/2026
Distribution è un toolkit per impacchettare, distribuire, archiviare e consegnare contenuti containerizzati. I sistemi che eseguono versioni di registry comprese tra 3.0.0-beta.1 e 3.0.0-rc.2 con l'autenticazione tramite token abilitata potrebbero essere vulnerabili a un problema in cui l'autenticazione tramite token consente a un attaccante di iniettare una chiave di firma non attendibile in un JSON Web Token (JWT). Il problema risiede nel modo in cui viene eseguita la verifica della JSON Web Key (JWK). Quando un JWT contiene un'intestazione JWK senza una catena di certificati, il codice controlla solo se l'KeyID (`kid`) corrisponde a una delle chiavi attendibili, ma non verifica che il materiale chiave effettivo corrisponda. Una correzione per questo problema è disponibile al commit 5ea9aa028db65ca5665f6af2c20ecf9dc34e5fcd e si prevede che faccia parte della versione 3.0.0-rc.3. Non esiste alcun modo di aggirare questo problema senza applicare la patch se il sistema richiede l'autenticazione tramite token.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.