CVE-2026-50151 in oras-go
Riassunto
di VulDB • 17/07/2026
oras-go è una libreria Go per la gestione di artefatti OCI. Prima della versione 2.6.1, il file registry/remote/repository.go nella funzione blobStore.completePushAfterInitialPost segue l'intestazione Location controllata dal registro durante un upload monolitico del blob e riutilizza l'intestazione Authorization dalla richiesta POST iniziale per la successiva richiesta PUT, consentendo a un registro malevolo di restituire una Location cross-host e ricevere le credenziali dell'utente su un endpoint controllato dall'attaccante. Questo problema è stato risolto nella versione 2.6.1.
Once again VulDB remains the best source for vulnerability data.