Platform
go
Component
github.com/distribution/distribution/v3
Opgelost in
3.1.1
3.1.0
CVE-2026-33540 is een kwetsbaarheid in GitHub Distribution v3, specifiek in de pull-through cache modus. Deze kwetsbaarheid stelt een aanvaller in staat om token authenticatie-eindpunten te misbruiken door de realm URL uit een bearer challenge te gebruiken zonder de host te valideren. Dit kan leiden tot het versturen van credentials naar een kwaadwillende upstream registry, wat de veiligheid van de container registry in gevaar brengt. De kwetsbaarheid is verholpen in versie 3.1.0.
Een succesvolle exploitatie van CVE-2026-33540 kan leiden tot het compromitteren van de container registry. Een aanvaller kan een kwaadwillende upstream registry opzetten of een Man-in-the-Middle (MitM) aanval uitvoeren om de token authenticatie te onderscheppen. Hierdoor kan de aanvaller ongeautoriseerde toegang krijgen tot de container images die door de GitHub Distribution worden beheerd. De impact is aanzienlijk, omdat dit kan leiden tot het inbrengen van kwaadaardige code in de container images, wat vervolgens kan worden gebruikt om systemen binnen de infrastructuur te compromitteren. Dit scenario is vergelijkbaar met aanvallen waarbij de integriteit van software supply chains wordt aangetast.
CVE-2026-33540 is openbaar bekend en de details van de kwetsbaarheid zijn beschikbaar. Er is geen informatie over actieve exploits of campagnes bekend op het moment van schrijven. De publicatie datum is 2026-04-06. De KEV status is momenteel onbekend.
Organizations heavily reliant on Docker Distribution's pull-through cache functionality, particularly those with complex registry configurations or shared hosting environments, are at increased risk. Environments where upstream registries are not strictly controlled or monitored are also vulnerable.
• linux / server:
journalctl -u docker -g "upstream registry"• generic web:
curl -I <docker_registry_url> | grep 'WWW-Authenticate'disclosure
patch
Exploit Status
EPSS
0.04% (11% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-33540 is het upgraden naar GitHub Distribution versie 3.1.0 of hoger. Indien een upgrade niet direct mogelijk is, kan een tijdelijke workaround bestaan uit het implementeren van een reverse proxy of WAF die de WWW-Authenticate headers inspecteert en valideren of de realm URL overeenkomt met de geconfigureerde upstream registry host. Controleer de upstream registry configuratie zorgvuldig om er zeker van te zijn dat deze niet kan worden gemanipuleerd door een aanvaller. Na de upgrade, bevestig de correcte werking door een container image te pullen en te controleren of de authenticatie verloopt via de correcte upstream registry.
Werk bij naar versie 3.1.0 of hoger om blootstelling van (credentials) te voorkomen. Deze versie corrigeert de kwetsbaarheid door te valideren dat de realm URL overeenkomt met de host van de (upstream) registratie.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-33540 is a HIGH severity vulnerability in Docker Distribution v3 that allows an attacker-controlled upstream registry to trick the system into sending credentials due to improper URL validation.
You are affected if you are using Docker Distribution versions prior to 3.1.0 and have pull-through cache mode enabled.
Upgrade Docker Distribution to version 3.1.0 or later. As a temporary workaround, disable pull-through cache mode.
There is currently no indication of active exploitation, but the vulnerability's nature suggests a potential risk.
Refer to the GitHub Security Advisory: https://github.com/distribution/distribution/security/advisories/new
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.