PT-2022-20884 · Harbor · Harbor
Daniel Abeles
+1
·
Publicado
2022-09-09
·
Atualizado
2024-11-20
·
CVE-2022-31671
CVSS v3.1
7.4
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:L |
Nome do software vulnerável e versões afetadas
Versões do Harbor anteriores à 2.5.2
Descrição
O problema decorre da falha do Harbor em validar as permissões do usuário ao ler e atualizar logs de execução de tarefas por meio dos logs de execução do P2P Preheat. Ao enviar uma solicitação para ler ou atualizar os logs de execução do P2P Preheat e especificar IDs de tarefa diferentes, usuários mal-intencionados autenticados poderiam ler todos os logs de tarefa armazenados no banco de dados do Harbor. Isso pode ser feito enviando uma solicitação para o endpoint da API “GET /projects/{project name}/preheat/policies/{preheat policy name}/executions/{execution id}/tasks/{task id}/logs”.
Recomendações
Para versões do Harbor anteriores à 2.5.2, atualize para o Harbor v2.5.2 ou posterior o mais rápido possível para corrigir o problema.
Como solução alternativa temporária, considere restringir o acesso ao endpoint da API “GET /projects/{project name}/preheat/policies/{preheat policy name}/executions/{execution id}/tasks/{task id}/logs” para minimizar o risco de exploração.
Correção
Incorrect Authorization
Improper Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Harbor