PT-2026-55208 · Oras-Go · Oras-Go
Publicado
2026-07-01
·
Atualizado
2026-07-06
·
CVE-2026-48978
CVSS v4.0
2.1
Baixa
| Vetor | AV:N/AC:H/AT:N/PR:N/UI:A/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N |
Nome do Software Vulnerável e Versões Afetadas
oras.land/oras-go/v2 versões anteriores a v2.6.1
Descrição
O
auth.Client no oras-go segue a URL realm de um desafio WWW-Authenticate: Bearer de um registro sem validar seu esquema ou host. Isso pode ser explorado por um registro malicioso ou comprometido, ou por meio de um ataque de man-in-the-middle em conexões de texto simples, para realizar o seguinte:- Server-Side Request Forgery (SSRF): Ao fornecer um
realmapontando para redes internas (como AWS/Azure IMDS, RFC 1918 ou endereços de loopback), um invasor pode forçar o cliente a emitir requisições HTTP externas para endpoints internos. Isso pode ser usado para descoberta de serviços ou sondagem de redes internas de dentro do limite de confiança do usuário. - Downgrade de TLS: Um registro contatado via
https://pode retornar umrealmusando o esquemahttp://, fazendo com que o cliente envie credenciais em texto simples para o endpoint de token, ignorando a segurança de transporte pretendida.
O problema ocorre em
registry/remote/auth/client.go dentro das funções Client.Do(), Client.fetchBearerToken(), fetchDistributionToken() e fetchOAuth2Token(), onde o parâmetro realm de parseChallenge é passado para http.NewRequestWithContext sem validação.Recomendações
Atualize o oras.land/oras-go/v2 para a versão v2.6.1 ou posterior.
Como mitigação temporária, utilize a lista de permissões
Client.TrustedRealmHosts para restringir o encaminhamento de realm a hosts confiáveis.Correção
Cleartext Transmission of Sensitive Information
SSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Oras-Go