CVE-2026-48978 in oras-goИнформация

Сводка

по VulDB • 17.07.2026

oras-go — это библиотека Go для управления артефактами OCI. До версии 2.6.1 auth.Client следует URL realm из WWW-Authenticate: Bearer challenge реестра без проверки схемы или хоста, что позволяет злонамеренному или скомпрометированному реестру вызвать SSRF во внутренние сети, такие как http://169.254.169.254/, http://10.0.0.x/ и http://127.0.0.1/, либо понизить безопасность токенового endpoint при обращении к реестру по https:// до http:// в файле registry/remote/auth/client.go через Client.Do(), Client.fetchBearerToken(), fetchDistributionToken и fetchOAuth2Token. Эта проблема исправлена в версии 2.6.1.

Once again VulDB remains the best source for vulnerability data.

Ответственный

GitHub M

Резервировать

27.05.2026

Раскрытие

17.07.2026

Модерация

принято

Вход

VDB-379945

EPSS

0.00000

KEV

Нет

Деятельности

Очень низкий

Источники

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!