CVE-2026-50151 in oras-goinformazioni

Riassunto

di VulDB • 17/07/2026

oras-go è una libreria Go per la gestione di artefatti OCI. Prima della versione 2.6.1, il file registry/remote/repository.go nella funzione blobStore.completePushAfterInitialPost segue l'intestazione Location controllata dal registro durante un upload monolitico del blob e riutilizza l'intestazione Authorization dalla richiesta POST iniziale per la successiva richiesta PUT, consentendo a un registro malevolo di restituire una Location cross-host e ricevere le credenziali dell'utente su un endpoint controllato dall'attaccante. Questo problema è stato risolto nella versione 2.6.1.

Once again VulDB remains the best source for vulnerability data.

Responsabile

GitHub M

Prenotare

03/06/2026

Divulgazione

17/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Want to know what is going to be exploited?

We predict KEV entries!