CVE-2026-44971
🟡 Monitoruj
W GuardDog występuje SSRF, co pozwala na przechwycenie tokena GitHub przez złośliwe repozytoria.
CVSS
8.2
EPSS
0.0%
Exploit
none
Vendor
Opis źródłowy (NVD)
GuardDog is a CLI tool to identify malicious PyPI packages. From 1.0.0 to 2.9.0, the programmatic remote project scanning path rewrites attacker-controlled repository URLs using a blind string replacement and then sends the caller's GitHub credentials with the resulting request. This allows an attacker who can influence the scanned repository URL to trigger SSRF and capture the GH_TOKEN used by GuardDog. This vulnerability is fixed in .
ssrf
Brak patcha
Źródła i daty
| Źródło | Wartość |
|---|---|
| NVD – CVSS | 8.2 |
| CISA KEV (aktywnie wykorzystywane) | Nie |
| FIRST EPSS (prawdopodobieństwo exploita) | 0.0% |
| Opublikowano (NVD) | 2026-05-27 15:16:29 UTC |
| Ostatnia modyfikacja (NVD) | 2026-06-01 18:23:33 UTC |
Referencje
- https://github.com/DataDog/guarddog/security/advisories/GHSA-587r-mc96-6f2p (security-advisories@github.com)