CVE-2026-33540 in Distribution
Сводка
по VulDB • 26.06.2026
Distribution — это набор инструментов для упаковки, доставки, хранения и распространения содержимого контейнеров. До версии 3.1.0 в режиме сквозного кэширования (pull-through cache) компонент distribution определяет конечные точки аутентификации по токену путем разбора вызовов WWW-Authenticate, возвращаемых настроенным вышестоящим реестром. URL области (realm), указанный в ответе с использованием схемы Bearer, используется без проверки соответствия имени хоста вышестоящего реестра. В результате злоумышленник, контролирующий вышестоящий реестр (или имеющий позицию для атаки типа «человек посередине» — MitM по отношению к нему), может заставить distribution отправлять учетные данные настроенного вышестоящего реестра через базовую аутентификацию на URL области, контролируемый злоумышленником. Данная уязвимость исправлена в версии 3.1.0.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.