发布日期：2025-03-11
更新日期：2025-05-21

受影响系统：

Ratify Ratify < 1.3.2
Ratify Ratify < 1.2.3

描述：

---

CVE(CAN) ID: CVE-2025-27403

Ratify是Ratify开源的一个工件批准框架（CNCF沙盒）。
Ratify 1.2.3之前版本和1.3.2之前版本的Azure身份验证提供程序存在身份认证错误漏洞，该漏洞源于程序未正确验证目标注册表是否为ACR，攻击者可利用该漏洞获取和恶意利用具有ACR访问权限的EID令牌。

<**>

建议：

---

厂商补丁：

Ratify
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/ratify-project/ratify/commit/0ec0c08490e3d672ae64b1a220c90d5484f1c93f

浏览次数：40
严重程度：0（网友投票）