Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-04536

Опубликовано: 15 окт. 2019
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость реестра для Docker-контейнеров Harbor связана с ошибками использования стандартных разрешений. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, повысить свои привилегии и получить несанкционированный доступ к смежным проектам

Вендор

Project Harbor
VMware Inc.

Наименование ПО

harbor
Harbor Container Registry for PCF
VMware Cloud Foundation

Версия ПО

от 1.8.0 до 1.8.3 включительно (harbor)
1.9.0 (harbor)
до 1.8.4 (Harbor Container Registry for PCF)
- (VMware Cloud Foundation)

Тип ПО

Прикладное ПО информационных систем
Сетевое программное средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для программных продуктов VMware Inc.:
https://www.vmware.com/security/advisories/VMSA-2019-0016.html
Для harbor:
https://github.com/goharbor/harbor/releases/tag/v1.8.4
https://github.com/goharbor/harbor/releases/tag/v1.9.1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 62%
0.0044
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2019-16919

CVSS3: 7.5
nvd
больше 5 лет назад

Harbor API has a Broken Access Control vulnerability. The vulnerability allows project administrators to use the Harbor API to create a robot account with unauthorized push and/or pull access permissions to a project they don't have access or control for. The Harbor API did not enforce the proper project permissions and project scope on the API request to create a new robot account.

github логотип

GHSA-gm4w-75rj-3wr6

CVSS3: 7.5
github
около 3 лет назад

Harbor API has a Broken Access Control vulnerability. The vulnerability allows project administrators to use the Harbor API to create a robot account with unauthorized push and/or pull access permissions to a project they don't have access or control for. The Harbor API did not enforce the proper project permissions and project scope on the API request to create a new robot account.

EPSS

Процентиль: 62%
0.0044
Низкий

7.5 High

CVSS3

7.8 High

CVSS2