CVE-2024-35192

Versões do Trivy anteriores à 0.51.2

Um agente mal-intencionado pode fazer com que o Trivy vaze credenciais de registradores legítimos, como o AWS Elastic Container Registry (ECR), o Google Cloud Artifact/Container Registry ou o Azure Container Registry (ACR), se o registrador for verificado diretamente usando o Trivy. Esses tokens podem então ser usados para enviar/baixar imagens desses registradores aos quais a identidade/usuário que executa o Trivy tem acesso. O vazamento ocorre apenas quando o Trivy consegue obter credenciais do registro a partir da cadeia padrão de provedores de credenciais. Esse problema se aplica ao escanear imagens de contêiner diretamente de um registro.

Para versões do Trivy anteriores à 0.51.2, atualize para a versão 0.51.2 ou posterior para resolver o problema.

Como solução alternativa temporária, considere usar o sinalizador --image-src para selecionar quais fontes você confia e certifique-se de escanear apenas imagens de registros confiáveis.

Restrinja o acesso à funcionalidade vulnerável usando o Docker, o containerd ou outro ambiente de execução para baixar imagens localmente e escaneá-las com o Trivy, em vez de escanear diretamente de um registro.