PT-2026-55208 · Oras-Go · Oras-Go

Publicado

2026-07-01

·

Atualizado

2026-07-06

·

CVE-2026-48978

CVSS v4.0

2.1

Baixa

VetorAV:N/AC:H/AT:N/PR:N/UI:A/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N
Nome do Software Vulnerável e Versões Afetadas oras.land/oras-go/v2 versões anteriores a v2.6.1
Descrição O auth.Client no oras-go segue a URL realm de um desafio WWW-Authenticate: Bearer de um registro sem validar seu esquema ou host. Isso pode ser explorado por um registro malicioso ou comprometido, ou por meio de um ataque de man-in-the-middle em conexões de texto simples, para realizar o seguinte:
  1. Server-Side Request Forgery (SSRF): Ao fornecer um realm apontando para redes internas (como AWS/Azure IMDS, RFC 1918 ou endereços de loopback), um invasor pode forçar o cliente a emitir requisições HTTP externas para endpoints internos. Isso pode ser usado para descoberta de serviços ou sondagem de redes internas de dentro do limite de confiança do usuário.
  2. Downgrade de TLS: Um registro contatado via https:// pode retornar um realm usando o esquema http://, fazendo com que o cliente envie credenciais em texto simples para o endpoint de token, ignorando a segurança de transporte pretendida.
O problema ocorre em registry/remote/auth/client.go dentro das funções Client.Do(), Client.fetchBearerToken(), fetchDistributionToken() e fetchOAuth2Token(), onde o parâmetro realm de parseChallenge é passado para http.NewRequestWithContext sem validação.
Recomendações Atualize o oras.land/oras-go/v2 para a versão v2.6.1 ou posterior. Como mitigação temporária, utilize a lista de permissões Client.TrustedRealmHosts para restringir o encaminhamento de realm a hosts confiáveis.

Correção

Cleartext Transmission of Sensitive Information

SSRF

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-48978
GHSA-XF85-363P-868W
OPENSUSE-SU-2026:11186-1
OPENSUSE-SU-2026:11187-1

Produtos afetados

Oras-Go