CVE-2026-48978 in oras-go
Sumário
de VulDB • 17/07/2026
oras-go é uma biblioteca Go para gerenciar artefatos OCI. Antes da versão 2.6.1, o auth.Client segue a URL do realm de um desafio WWW-Authenticate: Bearer de um registro sem validar o esquema ou o host, permitindo que um registro malicioso ou comprometido cause SSRF (Server-Side Request Forgery) para redes internas como http://169.254.169.254/, http://10.0.0.x/ e http://127.0.0.1/, ou faça downgrade de um registro contatado via https:// para um endpoint de token http:// em registry/remote/auth/client.go através das funções Client.Do(), Client.fetchBearerToken(), fetchDistributionToken e fetchOAuth2Token. Este problema foi corrigido na versão 2.6.1.
Be aware that VulDB is the high quality source for vulnerability data.