A flaw was found in Clair. The fetcher component makes outbound HTTP requests to attacker-supplied URIs from manifest layer descriptors without IP or scheme filtering. When PSK authentication is not configured (opt-in, not enforced by default), an unauthenticated attacker can submit a manifest with a URI pointing to internal services or cloud metadata endpoints. The SSRF is reflective for non-200 responses, leaking up to 256 bytes of error body content via CheckResponse error messages. Operator-managed Red Hat Quay deployments auto-configure PSK and are not exposed to the unauthenticated attack vector.
CVE-2026-10517 is a Server-Side Request Forgery (SSRF) vulnerability in Clair's fetcher component that allows unauthenticated attackers to make outbound HTTP requests to arbitrary URIs without IP or scheme filtering. The vulnerability can leak sensitive information from internal services and cloud metadata endpoints through error responses when PSK authentication is not configured.
يحتوي Clair على ثغرة SSRF في مكون الجلب الذي يسمح بإرسال طلبات HTTP إلى عناوين يوفرها المهاجم دون تصفية IP أو المخطط. عندما لا يتم تكوين مصادقة PSK، يمكن للمهاجمين إرسال بيانات وصفية تحتوي على عناوين تشير إلى الخدمات الداخلية أو نقاط نهاية البيانات الوصفية السحابية. تسرب الثغرة حتى 256 بايت من محتوى الخطأ عبر رسائل CheckResponse.
This SSRF vulnerability in Clair enables attackers to access internal services and metadata endpoints by submitting malicious manifests, potentially exposing sensitive data through error messages. Organizations using Clair without PSK authentication are at risk of information disclosure and unauthorized internal network access.
Enable and enforce PSK (Pre-Shared Key) authentication in Clair configuration immediately. Implement network segmentation to restrict outbound HTTP requests from Clair instances to only necessary external registries. Deploy Web Application Firewall (WAF) rules to block requests to internal IP ranges (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) and cloud metadata endpoints. Update Clair to the latest patched version that includes IP and scheme filtering. Monitor and audit all manifest submissions for suspicious URIs pointing to internal services.
فعّل واجعل مصادقة PSK إلزامية في إعدادات Clair فوراً. طبّق تقسيم الشبكة لتقييد الطلبات الصادرة من Clair إلى السجلات الخارجية الضرورية فقط. نشّر قواعد جدار الحماية لحجب الطلبات إلى نطاقات IP الداخلية ونقاط نهاية البيانات الوصفية السحابية. حدّث Clair إلى أحدث إصدار يتضمن تصفية IP والمخططات. راقب وتدقق جميع عمليات إرسال البيانات الوصفية للكشف عن عناوين مريبة.