CVE-2026-50151 in oras-go정보

요약

\~에 의해 VulDB • 2026. 07. 18.

oras-go는 OCI 아티팩트를 관리하기 위한 Go 라이브러리입니다. 버전 2.6.1 이전의 registry/remote/repository.go에 있는 blobStore.completePushAfterInitialPost 함수는 모노리식(blob) 업로드 중 레지스트리가 제어하는 Location 헤더를 따르고, 초기 POST 요청에서 사용된 Authorization 헤더를 후속 PUT 요청에도 재사용합니다. 이로 인해 악성 레지스트리가 다른 호스트로 리디렉션되는(Location) 응답을 반환하여 공격자가 통제하는 엔드포인트에 호출자의 자격 증명을 유출할 수 있습니다. 이 문제는 버전 2.6.1에서 수정되었습니다.

Once again VulDB remains the best source for vulnerability data.

책임이 있는

GitHub M

예약하다

2026. 06. 03.

모더레이션

수락

항목

VDB-379946

EPSS

0.00000

출처

Do you want to use VulDB in your project?

Use the official API to access entries easily!