Обнаружена проблема в JFrog Artifactory 6.7.3. По умолчанию учетная запись access-admin используется для сброса пароля учетной записи admin…
Обнаружена проблема в JFrog Artifactory 6.7.3. По умолчанию учетная запись access-admin используется для сброса пароля учетной записи admin в случае, если администратор заблокирован в консоли Artifactory. Это разрешено только при подключении непосредственно с localhost, но предоставление HTTP-заголовка X-Forwarded-For к запросу позволяет неаутентифицированному пользователю войти в систему с учетными данными по умолчанию учетной записи access-admin, минуя белый список разрешенных IP-адресов. Учетная запись access-admin может использовать API Artifactory для запроса токенов аутентификации для всех пользователей, включая учетную запись admin, и, в свою очередь, получить полный контроль над всеми артефактами и репозиториями, управляемыми Artifactory.