Plateforme
go
Composant
github.com/distribution/distribution/v3
Corrigé dans
3.1.1
3.1.0
La vulnérabilité CVE-2026-33540 est une faille de Server-Side Request Forgery (SSRF) affectant GitHub Distribution v3. Cette faille permet à un attaquant de forcer le serveur à effectuer des requêtes vers des ressources non autorisées, potentiellement compromettant la confidentialité et l'intégrité des données. Elle touche les versions antérieures à 3.1.0 et a été corrigée dans cette version.
Un attaquant exploitant cette vulnérabilité peut contourner les contrôles d'accès et effectuer des requêtes vers des ressources internes qui ne seraient normalement pas accessibles. Cela peut inclure l'accès à des informations sensibles, l'exécution de commandes sur le serveur ou l'accès à d'autres services internes. Dans le contexte de GitHub Distribution, cela pourrait permettre à un attaquant d'interagir avec des registres de conteneurs malveillants ou d'accéder à des informations d'identification stockées dans des configurations internes. Le risque est amplifié si le cache de distribution est configuré pour utiliser le mode 'pull-through', car il est plus susceptible d'être exposé à des requêtes externes.
Cette vulnérabilité a été divulguée publiquement le 6 avril 2026. Il n'y a pas d'indication d'exploitation active à ce jour, mais la nature de la vulnérabilité SSRF la rend potentiellement exploitable. Aucun Proof of Concept (PoC) public n'a été identifié à la date de rédaction. La vulnérabilité n'a pas encore été ajoutée au catalogue KEV de CISA.
Organizations heavily reliant on Docker Distribution's pull-through cache functionality, particularly those with complex registry configurations or shared hosting environments, are at increased risk. Environments where upstream registries are not strictly controlled or monitored are also vulnerable.
• linux / server:
journalctl -u docker -g "upstream registry"• generic web:
curl -I <docker_registry_url> | grep 'WWW-Authenticate'disclosure
patch
Statut de l'Exploit
EPSS
0.04% (percentile 11%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour GitHub Distribution vers la version 3.1.0 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible de désactiver temporairement le mode 'pull-through' du cache de distribution, ce qui réduira la surface d'attaque. Il est également recommandé de mettre en place des règles de pare-feu ou de proxy pour limiter les requêtes sortantes autorisées par le serveur de distribution. Surveillez attentivement les journaux d'accès et d'erreur pour détecter toute activité suspecte, en particulier les requêtes vers des hôtes inconnus ou inattendus. Après la mise à jour, vérifiez la configuration du cache et assurez-vous que le mode 'pull-through' est correctement configuré et sécurisé.
Mettez à jour vers la version 3.1.0 ou supérieure pour éviter l'exposition de (credentials). Cette version corrige la vulnérabilité en validant que l'URL du (realm) corresponde à l'hôte du registre (upstream).
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-33540 is a HIGH severity vulnerability in Docker Distribution v3 that allows an attacker-controlled upstream registry to trick the system into sending credentials due to improper URL validation.
You are affected if you are using Docker Distribution versions prior to 3.1.0 and have pull-through cache mode enabled.
Upgrade Docker Distribution to version 3.1.0 or later. As a temporary workaround, disable pull-through cache mode.
There is currently no indication of active exploitation, but the vulnerability's nature suggests a potential risk.
Refer to the GitHub Security Advisory: https://github.com/distribution/distribution/security/advisories/new
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.