Plataforma
go
Componente
github.com/distribution/distribution/v3
Corrigido em
3.1.1
3.1.0
A vulnerabilidade CVE-2026-33540 é um problema de spoofing de token no GitHub Distribution v3. Em modo de cache de pull-through, o Distribution descobre endpoints de autenticação de token analisando desafios WWW-Authenticate retornados pelo registry upstream configurado. A URL realm de um desafio bearer é usada sem validar se corresponde ao host do upstream, permitindo que um atacante manipule o cache.
Um atacante pode explorar essa vulnerabilidade configurando um upstream registry malicioso ou interceptando o tráfego entre o GitHub Distribution e o registry upstream (ataque Man-in-the-Middle). Isso permite que o atacante force o GitHub Distribution a enviar tokens de autenticação para o upstream registry controlado pelo atacante. O impacto é a potencial exposição de credenciais de acesso ao registry, permitindo que o atacante acesse imagens e metadados confidenciais. A exploração bem-sucedida pode levar a roubo de dados, comprometimento de pipelines de CI/CD e, potencialmente, acesso a sistemas internos que dependem do registro de imagens.
A vulnerabilidade foi divulgada em 2026-04-06. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA KEV catalog) no momento da publicação. A existência de um ataque Man-in-the-Middle para explorar essa vulnerabilidade é plausível, dada a natureza do problema.
Organizations heavily reliant on Docker Distribution's pull-through cache functionality, particularly those with complex registry configurations or shared hosting environments, are at increased risk. Environments where upstream registries are not strictly controlled or monitored are also vulnerable.
• linux / server:
journalctl -u docker -g "upstream registry"• generic web:
curl -I <docker_registry_url> | grep 'WWW-Authenticate'disclosure
patch
Status do Exploit
EPSS
0.04% (percentil 11%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o GitHub Distribution para a versão 3.1.0 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, implemente uma validação rigorosa do host da URL realm recebida do upstream registry. Isso pode ser feito verificando se o host corresponde ao host esperado do upstream. Considere também a implementação de regras de firewall ou proxy para restringir o acesso do GitHub Distribution apenas a registries upstream confiáveis. Monitore logs de acesso e erro em busca de atividades suspeitas, como requisições para hosts desconhecidos.
Atualize para a versão 3.1.0 ou superior para evitar a exposição de credenciais. Esta versão corrige a vulnerabilidade ao validar que a URL do realm corresponda ao host do registro (upstream).
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-33540 is a HIGH severity vulnerability in Docker Distribution v3 that allows an attacker-controlled upstream registry to trick the system into sending credentials due to improper URL validation.
You are affected if you are using Docker Distribution versions prior to 3.1.0 and have pull-through cache mode enabled.
Upgrade Docker Distribution to version 3.1.0 or later. As a temporary workaround, disable pull-through cache mode.
There is currently no indication of active exploitation, but the vulnerability's nature suggests a potential risk.
Refer to the GitHub Security Advisory: https://github.com/distribution/distribution/security/advisories/new
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.