PT-2024-19298 · Harbor · Harbor
Jay Chen
+1
·
Publicado
2024-07-31
·
Atualizado
2024-08-20
·
CVE-2024-22278
CVSS v4.0
7.0
Alta
| Vetor | AV:N/AC:L/AT:N/PR:H/UI:N/VC:L/VI:L/VA:H/SC:L/SI:L/SA:N |
Nome do software vulnerável e versões afetadas
Versões do Harbor anteriores à 2.9.5
Versões do Harbor anteriores à 2.10.3
Descrição
O problema decorre de uma validação incorreta das permissões do usuário, permitindo que usuários autenticados com a função de mantenedor modifiquem as configurações. Isso pode ser explorado por meio de chamadas de API, como PUT /projects/{project name or id}/metadatas/{meta name}, POST /projects/{project name or id}/metadatas/{meta name} e DELETE /projects/{project name or id}/metadatas/{meta name}. A função de mantenedor, destinada a indivíduos que dão suporte aos administradores de projeto, pode utilizar a API de metadados para contornar as limitações de gerenciamento de configuração. No entanto, o invasor deve estar autenticado e ter recebido uma função específica de mantenedor de projeto, limitando seu escopo a esse projeto.
Recomendações
Para versões do Harbor anteriores à 2.9.5, atualize para a versão 2.9.5 ou posterior.
Para versões do Harbor anteriores à 2.10.3, atualize para a versão 2.10.3 ou posterior.
Como solução alternativa temporária, considere restringir o acesso à API de metadados para usuários com a função de mantenedor até que um patch esteja disponível.
Correção
Improper Privilege Management
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Harbor