CVE-2025-61776

Nome do Software Vulnerável e Versões Afetadas Versões do Dependency-Track anteriores à 4.13.5

Descrição O Dependency-Track é uma plataforma de análise de componentes utilizada para gerenciar riscos na cadeia de suprimentos de software. Versões anteriores à 4.13.5 podem transmitir inadvertidamente credenciais destinadas a um repositório NuGet privado para api.nuget.org através do cabeçalho HTTP Authorization. Isso também pode resultar na divulgação de nomes e versões de componentes marcados internamente para api.nuget.org. Isso ocorre quando uma instância do Dependency-Track inclui componentes .NET, um repositório NuGet personalizado é configurado, o repositório é configurado com credenciais de autenticação e o servidor do repositório não fornece o recurso PackageBaseAddress em seu índice de serviço.

Recomendações Desative repositórios NuGet personalizados até que a versão 4.13.5 seja aplicada. Invalide as credenciais usadas anteriormente. Gere novas credenciais para uso após a aplicação da versão 4.13.5.