Linuxfoundation›Приложениеanchore_overrides,nvd

Harbor

Уязвимости

Эксплуатируемые

Макс. CVSS

8.8

Макс. EPSS

0.23108

Распределение по критичности

Критический

Высокий

Средний

Низкий

Затронутые диапазоны версий

1.0.0–1.10.131.1.0–2.5.31.7.0–1.7.61.7.0–1.8.61.8.0–1.8.31.9.0–2.0.32.0.0–2.4.32.0–2.0.52.12.0-rc1–2.12.4-rc12.8.0–2.8.52.8.1–2.8.6< 1.10.17< 1.10.3< 1.3.0< 2.0.1< 2.9.5

Также сопоставлено как (исходные строки): harbor

Топ уязвимостей

CVE-2019-19025Cloud Native Computing Foundation Harbor до версий 1.8.6 и 1.9.3 допускает CSRF в VMware Harbor Container Registry для Pivotal Platform.

CVE-2019-19023Cloud Native Computing Foundation Harbor до версий 1.8.6 и 1.9.3 имеет уязвимость повышения привилегий в VMware Harbor Container Registry для Pivotal Platform.

CVE-2017-17697Функция Ping() в ui/api/target.go в Harbor до 1.3.0-rc4 имеет SSRF через параметр endpoint в /api/targets/ping.

CVE-2022-31670Harbor не проверяет разрешения пользователя при обновлении политик хранения тегов. Отправив запрос на обновление политики хранения тегов с идентификатором, принадлежащим проекту, к которому у текущего аутентифицированного пользователя нет доступа, злоумышленник может изменить политики хранения тегов, настроенные в других проектах.

CVE-2022-31669Harbor не проверяет разрешения пользователя при обновлении политик неизменяемости тегов. Отправив запрос на обновление политики неизменяемости тегов с идентификатором, принадлежащим проекту, к которому у текущего аутентифицированного пользователя нет доступа, злоумышленник может изменить политики неизменяемости тегов, настроенные в других проектах.

CVE-2022-31668Harbor не проверяет разрешения пользователя при обновлении политик предварительного нагрева p2p. Отправив запрос на обновление политики предварительного нагрева p2p с идентификатором, принадлежащим проекту, к которому у текущего аутентифицированного пользователя нет доступа, злоумышленник может изменить политики предварительного нагрева p2p, настроенные в других проектах.

CVE-2022-46463Проблема контроля доступа в Harbor v1.X.X до v2.5.3 позволяет злоумышленникам получать доступ к общедоступным и частным репозиториям образов без аутентификации. ПРИМЕЧАНИЕ: позиция поставщика заключается в том, что это «четко описано в документации как функция».

CVE-2019-16919Harbor API имеет уязвимость, связанную с нарушением контроля доступа. Эта уязвимость позволяет администраторам проектов использовать Harbor API для создания учетной записи робота с несанкционированными разрешениями на отправку и/или извлечение данных в проект, к которому у них нет доступа или контроля. Harbor API не обеспечивал надлежащие разрешения для проектов и область действия проекта при запросе API на создание новой учетной записи робота.

CVE-2022-31671Harbor не проверяет разрешения пользователя при чтении и обновлении журналов выполнения заданий через журналы выполнения предварительного нагрева P2P. Отправив запрос, который пытается прочитать/обновить журналы выполнения предварительного нагрева P2P и указав разные идентификаторы заданий, злонамеренные аутентифицированные пользователи могут прочитать все журналы заданий, хранящиеся в базе данных Harbor.

CVE-2019-19029Cloud Native Computing Foundation Harbor до версий 1.8.6 и 1.9.3 допускает SQL-инъекции через группы пользователей в VMware Harbor Container Registry для Pivotal Platform.

CVE-2023-20902Условие гонки в Harbor 2.6.x и ниже, Harbor 2.7.2 и ниже, Harbor 2.8.2 и ниже, и Harbor 1.10.17 и ниже позволяет злоумышленнику с сетевым доступом создавать задачи/останавливать задачи и получать информацию о задачах.

CVE-2019-16097core/api/user.go в Harbor версий с 1.7.0 по 1.8.2 позволяет пользователям, не являющимся администраторами, создавать учетные записи администратора через API POST /api/users, когда Harbor настроен с DB в качестве серверной части аутентификации и позволяет пользователям самостоятельно регистрироваться. Исправленная версия: v1.7.6 v1.8.3. v.1.9.0. Обходной путь без применения исправления: настройте Harbor для использования серверной части аутентификации, отличной от DB, например LDAP.

CVE-2022-31667Harbor не проверяет разрешения пользователя при обновлении учетной записи робота, принадлежащей проекту, к которому у аутентифицированного пользователя нет доступа. Отправив запрос, который пытается обновить учетную запись робота, и указав идентификатор учетной записи робота и имя учетной записи робота, принадлежащие другому проекту, к которому у пользователя нет доступа, можно было отозвать разрешения учетной записи робота.

CVE-2024-22244Открытое перенаправление в Harbor <=v2.8.4, <=v2.9.2 и <=v2.10.0 может перенаправить пользователя на вредоносный сайт.

CVE-2024-22261SQL-инъекция в Harbor позволяет привилегированным пользователям раскрывать идентификаторы задач.

CVE-2022-31666Harbor не проверяет разрешения пользователей при удалении политик Webhook, позволяя злоумышленникам просматривать, обновлять и удалять политики Webhook других пользователей. Злоумышленник может изменить политики Webhook, настроенные в других проектах.

CVE-2020-29662В Harbor 2.0 до версий 2.0.5 и 2.1.x до версии 2.1.2 API реестра каталога доступен по неаутентифицированному пути.

CVE-2019-19030Cloud Native Computing Foundation Harbor до версий 1.10.3 и 2.x до 2.0.1 допускает перечисление ресурсов, поскольку неаутентифицированные вызовы API показывают (через код состояния HTTP), существует ли ресурс.

CVE-2019-19026Cloud Native Computing Foundation Harbor до версий 1.8.6 и 1.9.3 допускает SQL-инъекции через квоты проекта в VMware Harbor Container Registry для Pivotal Platform.

CVE-2024-22278Неправильная проверка разрешений пользователя в Harbor <v2.9.5 и Harbor <v2.10.3 позволяет аутентифицированным пользователям изменять конфигурации.

CVE-2020-13794Harbor 1.9.* 1.10.* и 2.0.* допускает раскрытие конфиденциальной информации неавторизованному лицу.

CVE-2020-13788Harbor версий до 2.0.1 допускает SSRF со следующим ограничением: злоумышленник, имеющий возможность редактировать проекты, может сканировать порты хостов, доступных во внутренней сети сервера Harbor.

CVE-2019-3990В Harbor существует недостаток перечисления пользователей. Проблема присутствует в конечной точке API "/users". Предполагается, что эта конечная точка предназначена только для администраторов. Это ограничение можно обойти и получить информацию о зарегистрированных пользователях через функцию "search".

CVE-2025-32019Harbor - это открытый доверенный облачный нативный проект реестра, который хранит, подписывает и сканирует содержимое. Версии 2.11.2 и ниже, а также версии 2.12.0-rc1 и 2.13.0-rc1 содержат уязвимость, при которой поле markdown на странице вкладки info может быть использовано для внедрения кода XSS. Это исправлено в версиях 2.11.3 и 2.12.3 [1]. Источники: - [1] https://github.com/goharbor/harbor/security/advisories/GHSA-f9vc-vf3r-pqqq - [2] https://github.com/goharbor/harbor/commit/76c2c5f7cfd9edb356cbb373889a59cc3217a058 - [3] https://github.com/goharbor/harbor/commit/a13a16383a41a8e20f524593cb290dc52f86f088 - [4] https://github.com/goharbor/harbor/commit/f019430872118852f83f96cac9c587b89052d1e5

Перейти к вендору →Открыть в каталоге с фильтром по продукту →