平台
go
组件
github.com/distribution/distribution/v3
修复版本
3.1.1
3.1.0
CVE-2026-33540 描述了 GitHub Distribution 在 pull-through 缓存模式下存在的 token 缓存欺骗漏洞。该漏洞允许攻击者通过控制上游注册表或进行中间人攻击,欺骗 Distribution 发送凭据,从而可能导致敏感信息泄露。该漏洞影响 3.0.0 之前的版本,建议尽快升级至 3.1.0 以缓解风险。
该漏洞的潜在影响非常严重。攻击者可以利用恶意上游注册表,通过伪造 WWW-Authenticate 挑战,欺骗 GitHub Distribution 将凭据发送到攻击者控制的服务器。这可能导致攻击者获取敏感信息,例如访问代码库、修改代码或执行其他恶意操作。由于 GitHub Distribution 广泛用于镜像和分发 Docker 镜像,因此该漏洞的潜在影响范围非常广泛,可能影响到依赖该组件的各种应用程序和服务。攻击者可以利用此漏洞进行横向移动,进一步扩大攻击范围。
该漏洞已公开披露,并被添加到 CISA KEV 目录中,表明其具有中等至高概率被利用。目前尚未发现公开的 PoC,但由于漏洞的严重性和易利用性,预计未来可能会出现。建议密切关注安全社区的动态,并及时采取缓解措施。
Organizations heavily reliant on Docker Distribution's pull-through cache functionality, particularly those with complex registry configurations or shared hosting environments, are at increased risk. Environments where upstream registries are not strictly controlled or monitored are also vulnerable.
• linux / server:
journalctl -u docker -g "upstream registry"• generic web:
curl -I <docker_registry_url> | grep 'WWW-Authenticate'disclosure
patch
漏洞利用状态
EPSS
0.04% (11% 百分位)
CISA SSVC
最有效的缓解措施是升级至 GitHub Distribution 3.1.0 或更高版本,该版本修复了此漏洞。如果无法立即升级,可以考虑以下临时缓解措施:限制 pull-through 缓存的使用,只允许信任的上游注册表。实施严格的网络访问控制,防止未经授权的访问上游注册表。监控 GitHub Distribution 的日志,查找异常活动,例如凭据泄露的迹象。在反向代理或 WAF 上配置规则,以检测和阻止恶意 WWW-Authenticate 挑战。升级后,请验证配置是否正确,并检查日志以确认漏洞已成功修复。
升级到 3.1.0 或更高版本以避免凭据泄露。此版本通过验证 realm URL 是否与 upstream 注册的主机匹配来修复此漏洞 (vulnerability)。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-33540 是 GitHub Distribution 在 pull-through 缓存模式下存在的漏洞,攻击者可以欺骗 Distribution 发送凭据。
如果您正在使用 GitHub Distribution 3.0.0 之前的版本,则可能受到此漏洞的影响。
升级至 GitHub Distribution 3.1.0 或更高版本以修复此漏洞。
目前尚未发现公开的 PoC,但由于漏洞的严重性,预计未来可能会被利用。
请访问 GitHub Security Advisory:https://github.com/distribution/distribution/security/advisories/new
CVSS 向量
上传你的 go.mod 文件,立即知道是否受影响。