PT-2022-20881 · Harbor · Harbor
Daniel Abeles
+1
·
Publicado
2022-09-16
·
Atualizado
2024-11-20
·
CVE-2022-31669
CVSS v3.1
7.7
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do Harbor anteriores à 2.5.2
Descrição
O problema decorre da falha do Harbor em validar as permissões do usuário ao atualizar políticas de imutabilidade de tags. Isso pode ser explorado enviando-se uma solicitação para atualizar uma política de imutabilidade de tags com um ID pertencente a um projeto ao qual o usuário atualmente autenticado não tem acesso, permitindo que o invasor modifique políticas de imutabilidade de tags configuradas em outros projetos. O endpoint da API
PUT /projects/{project name or id}/immutabletagrules/{immutable rule id} está envolvido neste problema.Recomendações
Para versões do Harbor anteriores à 2.5.2, atualize para o Harbor v2.5.2 ou posterior o mais rápido possível para corrigir o problema. Como solução alternativa temporária, considere restringir o acesso ao endpoint da API
PUT /projects/{project name or id}/immutabletagrules/{immutable rule id} para minimizar o risco de exploração.Correção
Incorrect Authorization
Improper Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Harbor