CVE-2026-48978 in oras-go情報

要約

〜によって VulDB • 2026年07月17日

oras-goは、OCIアーティファクトを管理するためのGoライブラリです。バージョン2.6.1より前では、auth.ClientがレジストリのWWW-Authenticate: Bearerチャレンジからrealm URLに従う際、スキームやホストを検証しないため、悪意のあるまたは侵害されたレジストリによって、http://169.254.169.254/、http://10.0.0.x/、および http://127.0.0.1/ などの内部ネットワークへのSSRF(サーバーサイドリクエストフォージェリ)を引き起こしたり、https:// で接続されたレジストリのトークンエンドポイントを registry/remote/auth/client.go の Client.Do()、Client.fetchBearerToken()、fetchDistributionToken、および fetchOAuth2Token を通じて http:// にダウングレードさせたりすることが可能でした。この問題はバージョン 2.6.1で修正されています。

Be aware that VulDB is the high quality source for vulnerability data.

責任者

GitHub M

予約する

2026年05月27日

モデレーション

承諾済み

エントリ

VDB-379945

EPSS

0.00000

アクティビティ

非常低い

ソース

Do you need the next level of professionalism?

Upgrade your account now!