CVE-2024-22261

Versões do Harbor 2.8.1 a 2.8.5

Versões do Harbor 2.9.0 a 2.9.3

Versões do Harbor 2.10.0 a 2.10.1

Uma vulnerabilidade de injeção de SQL permite que usuários com funções de administrador, project admin ou project maintainer executem qualquer função Postgres por meio do endpoint da API GET /api/v2.0/projects/{project name}/repositories/{repository name}/artifacts/{reference}/scan/{report id}/log. No entanto, essa vulnerabilidade não pode ser usada para vazar informações úteis na resposta, pois o resultado da consulta da tarefa é apenas um resultado intermediário usado para localizar o arquivo de log da tarefa. O problema decorre da execução de SQL bruto no código, especificamente no arquivo task.go.

Para as versões 2.8.1 a 2.8.5 do Harbor, atualize para a versão 2.8.6 para corrigir o problema.

Para as versões 2.9.0 a 2.9.3 do Harbor, atualize para a versão 2.9.4 para corrigir o problema.

Para as versões 2.10.0 a 2.10.1 do Harbor, atualize para a versão 2.10.2 para corrigir o problema.

Como solução alternativa temporária, considere restringir o acesso ao endpoint da API vulnerável até que um patch seja aplicado.