A flaw was found in Red Hat Quay's Proxy Cache configuration feature. When an organization administrator configures an upstream registry for proxy caching, Quay makes a network connection to the specified registry hostname without verifying that it points to a legitimate external service. An attacker with organization administrator privileges could supply a crafted hostname to force the Quay server to make requests to internal network services, cloud infrastructure endpoints, or other resources that should not be accessible from the Quay application.
CVE-2026-32591 is a Server-Side Request Forgery (SSRF) vulnerability in Red Hat Quay's Proxy Cache configuration that allows organization administrators to redirect internal network requests to unauthorized services. With a CVSS score of 5.2, this medium-severity flaw enables attackers with admin privileges to access internal resources, cloud metadata endpoints, or sensitive infrastructure. No patch is currently available, requiring immediate compensating controls in Saudi organizations using Quay.
Immediate Actions:
1. Audit all Quay organization administrators and review Proxy Cache configurations for suspicious upstream registry hostnames
2. Implement network segmentation to restrict Quay server outbound connections to only legitimate external registries
3. Deploy Web Application Firewall (WAF) rules to block requests to private IP ranges (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) and cloud metadata endpoints (169.254.169.254)
4. Enable comprehensive logging of all Proxy Cache configuration changes and network connections
Compensating Controls:
5. Restrict organization administrator role to trusted personnel only; implement MFA for admin accounts
6. Use network policies/security groups to prevent Quay from accessing internal services and cloud metadata endpoints
7. Monitor outbound connections from Quay servers for anomalous destinations
8. Implement DNS filtering to prevent resolution of internal hostnames from Quay containers
Detection Rules:
9. Alert on Proxy Cache configuration changes by non-standard administrators
10. Monitor for HTTP requests from Quay to private IP ranges or 169.254.x.x addresses
11. Track failed connection attempts to internal services from Quay processes
الإجراءات الفورية:
1. تدقيق جميع مسؤولي منظمة Quay ومراجعة تكوينات Proxy Cache للبحث عن أسماء مضيفين مريبة
2. تنفيذ تقسيم الشبكة لتقييد اتصالات Quay الصادرة إلى السجلات الخارجية الشرعية فقط
3. نشر قواعد جدار الحماية (WAF) لحظر الطلبات إلى نطاقات IP الخاصة ونقاط نهاية البيانات الوصفية للسحابة
4. تفعيل تسجيل شامل لجميع تغييرات تكوين Proxy Cache والاتصالات الشبكية
الضوابط التعويضية:
5. تقييد دور مسؤول المنظمة للموظفين الموثوقين فقط؛ تنفيذ المصادقة متعددة العوامل
6. استخدام سياسات الشبكة لمنع Quay من الوصول إلى الخدمات الداخلية
7. مراقبة الاتصالات الصادرة من خوادم Quay للوجهات الشاذة
8. تنفيذ تصفية DNS لمنع حل أسماء المضيفين الداخلية
قواعد الكشف:
9. تنبيهات عند تغيير تكوين Proxy Cache
10. مراقبة طلبات HTTP من Quay إلى نطاقات IP الخاصة
11. تتبع محاولات الاتصال الفاشلة من عمليات Quay