PT-2026-54776 · Oras-Go · Oras-Go

Publicado

2026-07-01

·

Atualizado

2026-07-02

·

CVE-2026-50151

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Nome do Software Vulnerável e Versões Afetadas oras-go versões anteriores a 2.6.0
Description Durante o fluxo de upload monolítico de blobs, o software segue um cabeçalho Location controlado pelo registro e reutiliza o cabeçalho Authorization da requisição POST inicial para a requisição PUT subsequente. Se um registro malicioso retornar um Location de um host diferente, as credenciais do chamador podem ser enviadas para um endpoint controlado por um invasor. Este problema ocorre na função blobStore.completePushAfterInitialPost() localizada em registry/remote/repository.go. Isso pode levar ao vazamento de credenciais e a um Server-Side Request Forgery (SSRF) do lado do cliente, onde o servidor é enganado para fazer requisições a um destino não pretendido.
Recommendations Atualize o oras-go para uma versão posterior a 2.6.0. Valide o cabeçalho Location (incluindo esquema, hostname e porta efetiva) em relação à requisição original antes do upload. Implemente uma lista de permissões (allowlist) explícita para URLs de upload de hosts diferentes. Garanta que o cabeçalho Authorization nunca seja encaminhado quando o alvo do upload alterar o host ou o esquema.

Correção

SSRF

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-50151
GHSA-JXPM-75MH-9FP7

Produtos afetados

Oras-Go