Описание
Harbor fails to validate the user permissions when updating a robot account that belongs to a project that the authenticated user doesn’t have access to.
By sending a request that attempts to update a robot account, and specifying a robot account id and robot account name that belongs to a different project that the user doesn’t have access to, it was possible to revoke the robot account permissions.
Ссылки
- Vendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия от 2.0.0 (включая) до 2.4.3 (исключая)Версия от 2.5.0 (включая) до 2.5.2 (исключая)
Одно из
cpe:2.3:a:linuxfoundation:harbor:*:*:*:*:*:*:*:*
cpe:2.3:a:linuxfoundation:harbor:*:*:*:*:*:*:*:*
EPSS
Процентиль: 18%
0.00057
Низкий
6.4 Medium
CVSS3
Дефекты
CWE-285
CWE-863
Связанные уязвимости
CVSS3: 6.4
github
почти 3 года назад
Harbor fails to validate the user permissions when updating a robot account
EPSS
Процентиль: 18%
0.00057
Низкий
6.4 Medium
CVSS3
Дефекты
CWE-285
CWE-863