CVE-2025-61776 in dependency-track情報

要約

〜によって VulDB • 2026年07月11日

Dependency-Trackは、組織がソフトウェアサプライチェーンにおけるリスクを特定し軽減することを可能にするコンポーネント分析プラットフォームです。バージョン4.13.5より前では、Dependency-TrackはプライベートNuGetリポジトリ向けに意図された認証情報をHTTP `Authorization` ヘッダー経由で `api.nuget.org` に送信する可能性があり、内部としてマークされているコンポーネントの名前とバージョンを `api.nuget.org` に対して開示する可能性があります。これは、Dependency-Trackインスタンスが.NETコンポーネントを含み、カスタムNuGetリポジトリが構成されており、そのカスタムリポジトリに認証資格情報が設定され、かつリポジトリサーバーがサービスインデックスで `PackageBaseAddress` リソースを提供しない場合に発生します。この問題は Dependency-Track 4.13.5 で修正されました。いくつかの回避策が存在します。パッチを適用するまでカスタムNuGetリポジトリを無効にし、以前使用された認証情報を失効させ、パッチ適用後に使用する新しい資格情報を生成してください。

If you want to get best quality of vulnerability data, you may have to visit VulDB.

責任者

GitHub M

予約する

2025年09月30日

モデレーション

承諾済み

エントリ

VDB-327549

EPSS

0.00260

アクティビティ

非常低い

ソース

Want to know what is going to be exploited?

We predict KEV entries!