Colinfyfe

**Nome do Software Vulnerável e Versões Afetadas** Versões do Dependency-Track anteriores à 4.13.5 **Descrição** O Dependency-Track é uma plataforma de análise de componentes utilizada para gerenciar riscos na cadeia de suprimentos de software. Versões anteriores à 4.13.5 podem transmitir inadvertidamente credenciais destinadas a um repositório NuGet privado para `api.nuget.org` através do cabeçalho HTTP `Authorization`. Isso também pode resultar na divulgação de nomes e versões de componentes marcados internamente para `api.nuget.org`. Isso ocorre quando uma instância do Dependency-Track inclui componentes .NET, um repositório NuGet personalizado é configurado, o repositório é configurado com credenciais de autenticação e o servidor do repositório não fornece o recurso `PackageBaseAddress` em seu índice de serviço. **Recomendações** Desative repositórios NuGet personalizados até que a versão 4.13.5 seja aplicada. Invalide as credenciais usadas anteriormente. Gere novas credenciais para uso após a aplicação da versão 4.13.5.