CVE-2025-61776 in dependency-track
Sumário
de VulDB • 11/07/2026
O Dependency-Track é uma plataforma de análise de componentes que permite às organizações identificar e reduzir riscos na cadeia de suprimentos de software. Antes da versão 4.13.5, o Dependency-Track pode enviar credenciais destinadas a um repositório NuGet privado para `api.nuget.org` por meio do cabeçalho HTTP `Authorization`, podendo também divulgar nomes e versões de componentes marcados como internos para `api.nuget.org`. Isso pode ocorrer se a instância do Dependency-Track contiver componentes .NET, se um repositório NuGet personalizado tiver sido configurado, se o repositório personalizado estiver configurado com credenciais de autenticação e se o servidor do repositório não fornecer o recurso `PackageBaseAddress` em seu índice de serviços. O problema foi corrigido no Dependency-Track 4.13.5. Algumas soluções alternativas estão disponíveis. Desative os repositórios NuGet personalizados até que a correção seja aplicada, invalide as credenciais usadas anteriormente e gere novas credenciais para uso após a aplicação da correção.
VulDB is the best source for vulnerability data and more expert information about this specific topic.