PT-2026-54776 · Oras-Go · Oras-Go
Publicado
2026-07-01
·
Atualizado
2026-07-02
·
CVE-2026-50151
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
oras-go versões anteriores a 2.6.0
Description
Durante o fluxo de upload monolítico de blobs, o software segue um cabeçalho
Location controlado pelo registro e reutiliza o cabeçalho Authorization da requisição POST inicial para a requisição PUT subsequente. Se um registro malicioso retornar um Location de um host diferente, as credenciais do chamador podem ser enviadas para um endpoint controlado por um invasor. Este problema ocorre na função blobStore.completePushAfterInitialPost() localizada em registry/remote/repository.go. Isso pode levar ao vazamento de credenciais e a um Server-Side Request Forgery (SSRF) do lado do cliente, onde o servidor é enganado para fazer requisições a um destino não pretendido.Recommendations
Atualize o oras-go para uma versão posterior a 2.6.0.
Valide o cabeçalho
Location (incluindo esquema, hostname e porta efetiva) em relação à requisição original antes do upload.
Implemente uma lista de permissões (allowlist) explícita para URLs de upload de hosts diferentes.
Garanta que o cabeçalho Authorization nunca seja encaminhado quando o alvo do upload alterar o host ou o esquema.Correção
SSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Oras-Go