漏洞概述 漏洞编号: CVE-2026-10078 漏洞标题: Quay config-tool: GitLab OAuth client_secret 暴露在 URL querystring 中 状态: NEW 报告时间: 2026-05-29 08:57 UTC by OSIDB Bzimport 修改时间: 2026-05-29 08:25 UTC CC List: 2 users 产品: Security Response 组件: vulnerability 版本: unspecified 硬件: All 操作系统: Linux 优先级: low 严重性: low 目标里程碑: --- 分配给: Product Security QA 联系人: --- 文档联系人: --- URL: --- 白名单: --- 依赖项: --- 阻塞项: --- 树视图: depends on / blocked 影响范围 环境: unspecified 最后关闭: --- 已屏蔽: --- 修复方案 修复版本: --- 克隆自: --- 详细描述 Quay config-tool 的 GitLab OAuth 验证器在 (第 84 行) 将 和 作为明文 URL querystring 参数放置在 POST 请求中,发送到配置的 GitLab 端点。这会导致凭据泄露到服务器访问日志、反向代理日志、WAF 日志、CDN 日志和 OpenTelemetry 跟踪中,即使端点是合法的 gitlab.com。GitLab OAuth 验证器正确使用 HTTP Basic Auth 头,不受影响。 附件 附件名称: (Terms of Use) 描述: OSIDB Bzimport 2026-05-29 08:57:57 UTC 备注 需要登录才能评论或对此漏洞进行更改。