プルスルーキャッシュ経由での認証情報漏洩 (www-authenticate bearer realm)

この SSRF 脆弱性を悪用されると、攻撃者は GitHub Distribution がアクセスするアップストリームレジストリを偽装できます。これにより、内部ネットワーク上の機密情報への不正アクセス、認証情報の漏洩、さらには他のシステムへの攻撃の足がかりとなる可能性があります。攻撃者は、中間者攻撃 (MitM) を利用して、Distribution が通信するアップストリームレジストリを乗っ取り、悪意のあるリクエストを送信できます。この脆弱性は、特に、Distribution が信頼できないアップストリームレジストリを使用している環境において深刻な影響をもたらす可能性があります。

Organizations heavily reliant on Docker Distribution's pull-through cache functionality, particularly those with complex registry configurations or shared hosting environments, are at increased risk. Environments where upstream registries are not strictly controlled or monitored are also vulnerable.

• linux / server:

journalctl -u docker -g "upstream registry"

• generic web:

curl -I <docker_registry_url> | grep 'WWW-Authenticate'

1. 2026-04-06Disclosure

   disclosure

2. 2026-04-06Patch

   patch

1. 予約済み2026-03-20
2. 公開日2026-04-06
3. 更新日2026-04-07
4. EPSS 更新日2026-04-14

この脆弱性への対応策として、まず GitHub Distribution を 3.1.0 以降のバージョンにアップグレードすることを推奨します。アップグレードが困難な場合は、アップストリームレジストリのホスト名を厳密に検証するカスタムロジックを実装するか、WAF (Web Application Firewall) を使用して、不正なリクエストをブロックすることを検討してください。また、Distribution がアクセスするアップストリームレジストリを制限し、信頼できるレジストリのみを使用するように設定することも重要です。アップグレード後、curl コマンドを使用して、認証トークンエンドポイントへのリクエストが正しく検証されていることを確認してください。