漏洞关键信息总结 1. 漏洞概述 CVE ID: CVE-2026-32590 漏洞名称: mirror-registry: remote code execution using pickle deserialization (镜像注册表:使用 pickle 反序列化进行的远程代码执行) 漏洞描述: 在 Red Hat Quay v3.12.x 版本中发现了一个远程代码执行 (RCE) 漏洞。该漏洞源于 Python 的 模块被不安全地用于序列化存储在数据库中的 状态对象。 受影响字段: 模型中的 和 字段(用于存储可恢复容器镜像层上传的 SHA-256 和 SHA-1 哈希状态)。 2. 影响范围 受影响产品: Red Hat Quay v3.12.x (最新版本) 受影响组件: Mirror Registry for OpenShift (OpenShift 镜像注册表) / BlobUpload functionality 操作系统: Linux 硬件: All (所有硬件) 利用条件 (Requirements to exploit): 攻击者需要登录到 Web 应用程序。 或者能够从主机启动 执行。 3. 修复方案 当前状态: NEW (新报告/未修复) 修复版本: 截图中显示为 "Close On",表明尚未指定具体的修复版本或正在处理中。 截止日期 (Deadline): 2026-04-15 负责人: Product Security DevOps Team 4. POC/利用代码 截图中未包含具体的 POC 代码或利用脚本。