CVE-2019-19030

Versões 1.10.3 e anteriores do Harbor; versões 2.x do Harbor anteriores à 2.0.1

A vulnerabilidade permite que chamadas de API não autenticadas revelem se um recurso existe por meio do código de status HTTP, possibilitando a enumeração de recursos. Um invasor pode utilizar a API do Harbor para realizar chamadas não autenticadas à instância do Harbor e determinar quais recursos existem e quais não existem. Isso fornece a ele informações como projetos existentes, repositórios, etc. Os seguintes recursos da API foram identificados como vulneráveis a ataques de enumeração: “/api/chartrepo/{repo}/prov” (POST), “/api/chartrepo/{repo}/charts” (GET, POST), “/api/chartrepo/{repo}/charts/{name}” (GET, DELETE), “/api/chartrepo/{repo}/charts/{name}/{version}” (GET, DELETE), “/api/labels?name={name}&scope=p” (GET), “/api/repositories?project id={id}” (GET), “/api/repositories/{repo name}/” (GET, PUT, DELETE), “/api/repositories/{repo name}/tags” (GET), “/api/repositories/{repo name}/tags/{tag}/manifest?version={version}” (GET), “/api/repositories/{repo name}/{tag}/labels” (GET), “/api/projects?project name={name}” (HEAD), “/api/projects/{project id}/summary” (GET), “/api/projects/{project id}/logs” (GET), “/api/projects/{project id}” (GET, PUT, DELETE), “/api/projects/{project id}/metadatas” (GET, POST) e “/api/projects/{project id}/metadatas/{metadata name}” (GET, PUT).

Atualize para a versão 1.10.3 ou 2.0.1 para corrigir este problema imediatamente.

Como medida temporária