Lyoung-Confluent

**Nome do software vulnerável e versões afetadas** Versões do Trivy anteriores à 0.51.2 **Descrição** Um agente mal-intencionado pode fazer com que o Trivy vaze credenciais de registradores legítimos, como o AWS Elastic Container Registry (ECR), o Google Cloud Artifact/Container Registry ou o Azure Container Registry (ACR), se o registrador for verificado diretamente usando o Trivy. Esses tokens podem então ser usados para enviar/baixar imagens desses registradores aos quais a identidade/usuário que executa o Trivy tem acesso. O vazamento ocorre apenas quando o Trivy consegue obter credenciais do registro a partir da cadeia padrão de provedores de credenciais. Esse problema se aplica ao escanear imagens de contêiner diretamente de um registro. **Recomendações** Para versões do Trivy anteriores à 0.51.2, atualize para a versão 0.51.2 ou posterior para resolver o problema. Como solução alternativa temporária, considere usar o sinalizador `--image-src` para selecionar quais fontes você confia e certifique-se de escanear apenas imagens de registros confiáveis. Restrinja o acesso à funcionalidade vulnerável usando o Docker, o containerd ou outro ambiente de execução para baixar imagens localmente e escaneá-las com o Trivy, em vez de escanear diretamente de um registro.