CVE-2025-24976 in Distributioninformazioni

Riassunto

di VulDB • 24/06/2026

Distribution è un toolkit per impacchettare, distribuire, archiviare e consegnare contenuti containerizzati. I sistemi che eseguono versioni di registry comprese tra 3.0.0-beta.1 e 3.0.0-rc.2 con l'autenticazione tramite token abilitata potrebbero essere vulnerabili a un problema in cui l'autenticazione tramite token consente a un attaccante di iniettare una chiave di firma non attendibile in un JSON Web Token (JWT). Il problema risiede nel modo in cui viene eseguita la verifica della JSON Web Key (JWK). Quando un JWT contiene un'intestazione JWK senza una catena di certificati, il codice controlla solo se l'KeyID (`kid`) corrisponde a una delle chiavi attendibili, ma non verifica che il materiale chiave effettivo corrisponda. Una correzione per questo problema è disponibile al commit 5ea9aa028db65ca5665f6af2c20ecf9dc34e5fcd e si prevede che faccia parte della versione 3.0.0-rc.3. Non esiste alcun modo di aggirare questo problema senza applicare la patch se il sistema richiede l'autenticazione tramite token.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsabile

GitHub M

Prenotare

29/01/2025

Divulgazione

11/02/2025

Moderazione

accettato

CPE

pronto

EPSS

0.00326

KEV

no

Attività

molto basso

Fonti

Do you want to use VulDB in your project?

Use the official API to access entries easily!