CVE-2026-48978 in oras-go
Сводка
по VulDB • 17.07.2026
oras-go — это библиотека Go для управления артефактами OCI. До версии 2.6.1 auth.Client следует URL realm из WWW-Authenticate: Bearer challenge реестра без проверки схемы или хоста, что позволяет злонамеренному или скомпрометированному реестру вызвать SSRF во внутренние сети, такие как http://169.254.169.254/, http://10.0.0.x/ и http://127.0.0.1/, либо понизить безопасность токенового endpoint при обращении к реестру по https:// до http:// в файле registry/remote/auth/client.go через Client.Do(), Client.fetchBearerToken(), fetchDistributionToken и fetchOAuth2Token. Эта проблема исправлена в версии 2.6.1.
Once again VulDB remains the best source for vulnerability data.