Dependency-Track的安全漏洞CVE-2025-61776

Dependency-Track 是一个开源的连续SBOM分析平台，由OWASP支持，基于上传SBOMs跟踪项目及其相关组件，利用数据库存储数据。

一、基本情况

Dependency-Track 是一个智能的组件分析平台，它允许组织识别和减少软件供应链中的风险，通过利用软件物料清单（SBOM）的功能。

Dependency-Track 采用独特且非常有益方法，提供传统软件组合分析Software Composition Analysis（SCA）解决方案无法实现的功能。

栋科技漏洞库关注到 Dependency-Track 受影响版本中存在一个安全漏洞，该漏洞现在已经被追踪为CVE-2025-61776，CVSS3.X评分4.7。

二、漏洞分析

CVE-2025-61776漏洞是存在于 Dependency-Track 在版本4.13.5之前的版本中，不过这个问题已在Dependency-Track 4.13.5中得到修复。

可能将通过HTTP授权头将用于私有NuGet仓库的凭据发送到api.nuget.org，并可能会公开标记为内部的组件的名称和版本到api.nuget.org。

如果 Dependency-Track 实例包含.NET组件、配置自定义NuGet仓库、并且存在如下情况，

即该自定义仓库配置了身份验证凭据，且仓库服务器在其服务索引中没有提供PackageBaseAddress资源时，那么就可能会发生这种情况。

该漏洞最初是在将JFrog Artifactory用作NuGet服务器时报告。

依赖跟踪允许管理员配置自定义包存储库， 其用于查找关于软件组件的版本信息（例如它们的最新版本）。

为了便于使用内部和/或私有存储库，还可以配置用于身份验证的凭据。 管理员可以配置模式，将某些组件标记为内部组件。

有关内部组件的信息不应发送到第三方服务，包括公共包存储库。 然而，它们将被发送到明确标记为内部的配置存储库。

与存储库的交互。NET软件包使用NuGetServer API执行。 API基于单一入口点（服务索引），API提供的资源从该入口点链接。

依赖性跟踪特别依赖于PackageBaseAddress资源进行版本查找。

根据NuGet API规范，存储库服务器需要提供此资源。 一些实现NuGet API的服务器没有提供PackageBaseAddress资源，

在他们的服务指数中。这导致依赖跟踪回退到其默认值，该默认值指向公共NuGet存储库api.NuGet.org。

但是如果配置了身份验证凭据，它们仍然被使用。

三、影响范围

Dependency-Track < 4.13.5

四、修复建议

Dependency-Track >= 4.13.5

五、参考链接

管理员已设置登录后刷新可查看