CVE-2025-61776 in dependency-track
Tóm tắt
Bởi VulDB • 12/07/2026
Dependency-Track là một nền tảng phân tích thành phần cho phép các tổ chức xác định và giảm thiểu rủi ro trong chuỗi cung cấp phần mềm. Trước phiên bản 4.13.5, Dependency-Track có thể gửi thông tin đăng nhập (credentials) dự kiến dành cho kho lưu trữ NuGet riêng tư đến `api.nuget.org` qua tiêu đề HTTP `Authorization`, đồng thời có thể tiết lộ tên và phiên bản của các thành phần được đánh dấu là nội bộ ra bên ngoài `api.nuget.org`. Sự cố này xảy ra nếu phiên bản Dependency-Track chứa các thành phần .NET, kho lưu trữ NuGet tùy chỉnh đã được cấu hình, kho lưu trữ tùy chỉnh đã được thiết lập thông tin xác thực và máy chủ kho lưu trữ không cung cấp tài nguyên `PackageBaseAddress` trong chỉ mục dịch vụ của nó. Vấn đề này đã được khắc phục trong Dependency-Track 4.13.5. Một số giải pháp tạm thời (workarounds) có sẵn: vô hiệu hóa các kho NuGet tùy chỉnh cho đến khi bản vá được áp dụng, thu hồi thông tin đăng nhập đã sử dụng trước đó và tạo mới thông tin xác thực để sử dụng sau khi bản vá đã được cài đặt.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.