CVE-2025-61776 in dependency-trackthông tin

Tóm tắt

Bởi VulDB • 12/07/2026

Dependency-Track là một nền tảng phân tích thành phần cho phép các tổ chức xác định và giảm thiểu rủi ro trong chuỗi cung cấp phần mềm. Trước phiên bản 4.13.5, Dependency-Track có thể gửi thông tin đăng nhập (credentials) dự kiến dành cho kho lưu trữ NuGet riêng tư đến `api.nuget.org` qua tiêu đề HTTP `Authorization`, đồng thời có thể tiết lộ tên và phiên bản của các thành phần được đánh dấu là nội bộ ra bên ngoài `api.nuget.org`. Sự cố này xảy ra nếu phiên bản Dependency-Track chứa các thành phần .NET, kho lưu trữ NuGet tùy chỉnh đã được cấu hình, kho lưu trữ tùy chỉnh đã được thiết lập thông tin xác thực và máy chủ kho lưu trữ không cung cấp tài nguyên `PackageBaseAddress` trong chỉ mục dịch vụ của nó. Vấn đề này đã được khắc phục trong Dependency-Track 4.13.5. Một số giải pháp tạm thời (workarounds) có sẵn: vô hiệu hóa các kho NuGet tùy chỉnh cho đến khi bản vá được áp dụng, thu hồi thông tin đăng nhập đã sử dụng trước đó và tạo mới thông tin xác thực để sử dụng sau khi bản vá đã được cài đặt.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

chịu trách nhiệm

GitHub M

Đặt trước

30/09/2025

Tiết lộ

07/10/2025

Kiểm duyệt

được chấp nhận

EPSS

0.00260

KEV

không

Các hoạt động

rất thấp

Nguồn

Do you know our Splunk app?

Download it now for free!