PT-2022-20883 · Harbor · Harbor
Daniel Abeles
+1
·
Publicado
2022-09-16
·
Atualizado
2024-11-25
·
CVE-2022-31670
CVSS v3.1
7.7
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do Harbor anteriores à 2.5.2
Descrição
O Harbor falha na validação das permissões do usuário ao atualizar políticas de retenção de tags. Ao enviar uma solicitação para atualizar uma política de retenção de tags com um ID pertencente a um projeto ao qual o usuário atualmente autenticado não tem acesso, o invasor poderia modificar políticas de retenção de tags configuradas em outros projetos. Isso pode ser feito enviando uma solicitação para o endpoint da API “PUT /retentions/{id}”.
Recomendações
Para versões do Harbor anteriores à 2.5.2, atualize para a versão 2.5.2 ou posterior para proteger seu sistema. Como solução temporária, considere restringir o acesso ao endpoint da API “PUT /retentions/{id}” até que um patch seja aplicado. Evite usar o parâmetro
id no endpoint da API afetado com projetos aos quais o usuário atualmente autenticado não tem acesso, até que o problema seja resolvido.Correção
Incorrect Authorization
Improper Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Harbor