UNKNOWNCVE-2026-33540

CVE-2026-33540: Credenciales expuestas en Distribution (<3.1.0)

Q: ¿Qué es CVE-2026-33540?

Es una vulnerabilidad que permite exponer credenciales al enviar información de autenticación a un servidor malicioso.

Q: ¿Estoy afectado?

Si estás utilizando Distribution en versiones anteriores a 3.1.0, eres vulnerable.

Q: ¿Cómo puedo solucionarlo?

Actualiza Distribution a la versión 3.1.0 para mitigar la vulnerabilidad.

Plataforma

docker

Componente

distribution

Corregido en

3.1.0

Ver en NVD

Distribution, una herramienta para empaquetar y distribuir contenido de contenedores, es vulnerable a la exposición de credenciales en modo de caché pull-through. En versiones anteriores a 3.1.0, Distribution descubre endpoints de autenticación de tokens analizando los desafíos WWW-Authenticate devueltos por el registro upstream configurado. El URL del realm de un desafío bearer se utiliza sin validación, permitiendo que un atacante controle el registro upstream y fuerce a Distribution a enviar las credenciales upstream a un URL controlado por el atacante. Se ha solucionado en la versión 3.1.0.

Cómo corregirlo

Sin parche oficial disponible. Busca alternativas o monitorea actualizaciones.

Preguntas frecuentes

¿Qué es CVE-2026-33540?

Es una vulnerabilidad que permite exponer credenciales al enviar información de autenticación a un servidor malicioso.

¿Estoy afectado?

Si estás utilizando Distribution en versiones anteriores a 3.1.0, eres vulnerable.

¿Cómo puedo solucionarlo?

Actualiza Distribution a la versión 3.1.0 para mitigar la vulnerabilidad.

Monitorea tus dependencias automáticamente

Recibe alertas cuando nuevas vulnerabilidades afecten tus proyectos. Gratis para siempre.

Comenzar gratis