PT-2022-20880 · Harbor · Harbor
Daniel Abeles
+1
·
Publicado
2022-09-16
·
Atualizado
2024-11-20
·
CVE-2022-31667
CVSS v3.1
6.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:L/A:L |
Nome do software vulnerável e versões afetadas
Versões do Harbor anteriores à 2.5.2
Descrição
O problema decorre da falha na validação das permissões do usuário ao atualizar uma conta de robô pertencente a um projeto ao qual o usuário autenticado não tem acesso. Ao enviar uma solicitação para atualizar uma conta de robô e especificar um ID e um nome de conta de robô que pertencem a um projeto diferente, era possível revogar as permissões da conta de robô. Isso pode ser feito por meio do endpoint da API “PUT /robots/{robot id}”, especificando o
robot id de uma conta de robô em um projeto ao qual o usuário não tem acesso.Recomendações
Para versões do Harbor anteriores à 2.5.2, atualize para o Harbor v2.5.2 ou posterior o mais rápido possível para corrigir o problema.
Como solução alternativa temporária, considere restringir o acesso ao endpoint da API “PUT /robots/{robot id}” para impedir atualizações não autorizadas em contas de robô até que o problema seja resolvido.
Correção
Incorrect Authorization
Improper Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Harbor