CVE-2026-33540

Versões do Distribution anteriores à 3.1.0 são afetadas por um problema no qual o software lida incorretamente com endpoints de autenticação de token. Especificamente, quando operando no modo de cache de passagem (pull-through cache), o software analisa os desafios WWW-Authenticate do registro upstream sem validar a URL do realm em relação ao host upstream. Isso permite que um invasor que controla o upstream ou executa um ataque Man-in-the-Middle (MitM) faça com que o software envie as credenciais upstream por meio de autenticação básica para uma URL de realm controlada pelo invasor. As seções de código vulneráveis incluem registry/proxy/proxyauth.go:66-81 (getAuthURLs), internal/client/auth/session.go:485-510 (fetchToken) e internal/client/auth/session.go:429-434 (fetchTokenWithBasicAuth). O impacto dessa falha é o potencial de exfiltração das credenciais de autenticação upstream. Os componentes afetados incluem a função getAuthURLs, que extrai o realm do portador sem validação de destino, e as funções fetchToken e fetchTokenWithBasicAuth, que usam diretamente a URL do realm para busca de token e autenticação básica, respectivamente.

Para resolver este problema, valide se o destino do realm do token está dentro do limite de confiança pretendido antes de associar credenciais a ele. Uma abordagem conservadora é implementar a vinculação estrita ao mesmo host, aceitando apenas realms cujo host corresponda ao host upstream configurado.