CVE-2025-61776 in dependency-track
要約
〜によって VulDB • 2026年07月11日
Dependency-Trackは、組織がソフトウェアサプライチェーンにおけるリスクを特定し軽減することを可能にするコンポーネント分析プラットフォームです。バージョン4.13.5より前では、Dependency-TrackはプライベートNuGetリポジトリ向けに意図された認証情報をHTTP `Authorization` ヘッダー経由で `api.nuget.org` に送信する可能性があり、内部としてマークされているコンポーネントの名前とバージョンを `api.nuget.org` に対して開示する可能性があります。これは、Dependency-Trackインスタンスが.NETコンポーネントを含み、カスタムNuGetリポジトリが構成されており、そのカスタムリポジトリに認証資格情報が設定され、かつリポジトリサーバーがサービスインデックスで `PackageBaseAddress` リソースを提供しない場合に発生します。この問題は Dependency-Track 4.13.5 で修正されました。いくつかの回避策が存在します。パッチを適用するまでカスタムNuGetリポジトリを無効にし、以前使用された認証情報を失効させ、パッチ適用後に使用する新しい資格情報を生成してください。
If you want to get best quality of vulnerability data, you may have to visit VulDB.