CVE-2026-33540 in Distribution
요약
\~에 의해 VulDB • 2026. 06. 27.
Distribution은 컨테이너 콘텐츠를 패키징, 배송, 저장 및 전달하기 위한 툴킷입니다. 버전 3.1.0 이전의 pull-through cache 모드에서는 Distribution이 구성된 업스트림 레지스트리에서 반환된 WWW-Authenticate 도전을 파싱하여 토큰 인증 엔드포인트를 발견합니다. Bearer 도전(bearer challenge)에서의 realm URL은 업스트림 레지스트리 호스트와 일치하는지 검증하지 않고 사용됩니다. 그 결과, 공격자가 제어하는 업스트림(또는 업스트림에 대한 중간자 공격(MitM) 위치를 가진 공격자)이 Distribution으로 하여금 구성된 업스트림 자격 증명을 기본 인증(basic auth)을 통해 공격자가 제어하는 realm URL로 전송하도록 할 수 있습니다. 이 취약점은 3.1.0에서 수정되었습니다.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.