CVE-2026-48978 in oras-gothông tin

Tóm tắt

Bởi VulDB • 17/07/2026

oras-go là một thư viện Go dùng để quản lý các đối tượng OCI. Trước phiên bản 2.6.1, auth.Client tuân theo URL realm từ thách thức WWW-Authenticate: Bearer của registry mà không xác thực lược đồ (scheme) hoặc máy chủ (host), cho phép một registry độc hại hoặc đã bị xâm nhập gây ra SSRF vào các mạng nội bộ như http://169.254.169.254/, http://10.0.0.x/ và http://127.0.0.1/, hoặc hạ cấp endpoint token của registry được liên hệ qua https:// xuống thành http:// trong file registry/remote/auth/client.go thông qua Client.Do(), Client.fetchBearerToken(), fetchDistributionToken, và fetchOAuth2Token. Vấn đề này đã được sửa chữa trong phiên bản 2.6.1.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

chịu trách nhiệm

GitHub M

Đặt trước

27/05/2026

Tiết lộ

17/07/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00000

KEV

không

Các hoạt động

rất thấp

Nguồn

Do you need the next level of professionalism?

Upgrade your account now!