प्लेटफ़ॉर्म
go
घटक
github.com/distribution/distribution/v3
में ठीक किया गया
3.1.1
3.1.0
GitHub Distribution v3 में एक टोकन प्रमाणीकरण बाईपास भेद्यता (CVE-2026-33540) की पहचान की गई है। पुल-थ्रू कैश मोड में, वितरण अपस्ट्रीम रजिस्ट्री से WWW-Authenticate चुनौतियों को पार्स करके टोकन प्रमाणीकरण समापन बिंदुओं की खोज करता है। हमलावर अपस्ट्रीम रजिस्ट्री को नियंत्रित करके या MitM स्थिति में रहकर, वितरण को गलत होस्ट पर टोकन भेजने के लिए मजबूर कर सकता है। यह भेद्यता संस्करण 3.0.0 से पहले के संस्करणों को प्रभावित करती है और इसे GitHub Distribution 3.1.0 में ठीक किया गया है।
यह भेद्यता हमलावरों को GitHub Distribution के पुल-थ्रू कैश को बायपास करने और अपस्ट्रीम रजिस्ट्री के साथ संचार को बाधित करने की अनुमति देती है। हमलावर एक दुर्भावनापूर्ण अपस्ट्रीम रजिस्ट्री स्थापित कर सकते हैं जो वितरण को गलत होस्ट पर टोकन भेजने के लिए प्रेरित करता है, जिससे संभावित रूप से अनधिकृत पहुंच और डेटा उल्लंघन हो सकता है। यह भेद्यता विशेष रूप से उन वातावरणों में गंभीर है जहां GitHub Distribution का उपयोग कंटेनर छवियों को प्रबंधित करने के लिए किया जाता है, क्योंकि यह छवि पुल प्रक्रिया को बाधित कर सकता है और एप्लिकेशन की उपलब्धता को प्रभावित कर सकता है। इस भेद्यता का शोषण करने के लिए, एक हमलावर को वितरण के साथ संचार को इंटरसेप्ट करने में सक्षम होना चाहिए, जो MitM हमले के माध्यम से प्राप्त किया जा सकता है।
CVE-2026-33540 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन इसकी गंभीरता को देखते हुए, भविष्य में शोषण की संभावना है। इस CVE को CISA KEV में शामिल किया गया है, जो इसकी संभावित जोखिम को दर्शाता है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक नहीं हैं, लेकिन भेद्यता की प्रकृति को देखते हुए, उनका जल्द ही प्रकट होना संभव है। NVD और GitHub सुरक्षा सलाहकारियां 2026-04-06 को प्रकाशित हुई हैं।
Organizations heavily reliant on Docker Distribution's pull-through cache functionality, particularly those with complex registry configurations or shared hosting environments, are at increased risk. Environments where upstream registries are not strictly controlled or monitored are also vulnerable.
• linux / server:
journalctl -u docker -g "upstream registry"• generic web:
curl -I <docker_registry_url> | grep 'WWW-Authenticate'disclosure
patch
एक्सप्लॉइट स्थिति
EPSS
0.04% (11% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-33540 को कम करने के लिए, GitHub Distribution को संस्करण 3.1.0 या बाद के संस्करण में तुरंत अपडेट करने की अनुशंसा की जाती है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, अपस्ट्रीम रजिस्ट्री होस्ट के विरुद्ध Realm URL को मान्य करने के लिए वितरण को कॉन्फ़िगर किया जा सकता है। यह सुनिश्चित करता है कि टोकन केवल अपेक्षित अपस्ट्रीम रजिस्ट्री को भेजे जाते हैं। इसके अतिरिक्त, एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके वितरण और अपस्ट्रीम रजिस्ट्री के बीच संचार को मॉनिटर किया जा सकता है, ताकि किसी भी संदिग्ध गतिविधि का पता लगाया जा सके। अपग्रेड के बाद, यह सत्यापित करें कि टोकन प्रमाणीकरण सही ढंग से काम कर रहा है और कोई त्रुटि नहीं है।
संस्करण 3.1.0 या उच्चतर में अपडेट करें ताकि क्रेडेंशियल्स का एक्सपोजर रोका जा सके। यह संस्करण अपस्ट्रीम रजिस्ट्री के होस्ट से realm URL का मिलान करके भेद्यता को ठीक करता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-33540 GitHub Distribution v3 में पुल-थ्रू कैश मोड में एक भेद्यता है जो हमलावरों को टोकन प्रमाणीकरण को बायपास करने की अनुमति देती है।
यदि आप GitHub Distribution के संस्करण 3.0.0 से पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
GitHub Distribution को संस्करण 3.1.0 या बाद के संस्करण में अपडेट करें। यदि अपग्रेड संभव नहीं है, तो अपस्ट्रीम होस्ट सत्यापन लागू करें।
CVE-2026-33540 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन इसकी गंभीरता को देखते हुए, भविष्य में शोषण की संभावना है।
आप GitHub सुरक्षा सलाहकारियां यहां पा सकते हैं: https://github.com/distribution/distribution/security/advisories/new
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी go.mod फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।