CVE-2022-31670

Опубликовано: 14 нояб. 2024

Источник: nvd

CVSS3: 7.7

EPSS Низкий

Описание

Harbor fails to validate the user permissions when updating tag retention policies.

By sending a request to update a tag retention policy with an id that belongs to a project that the currently authenticated user doesn’t have access to, the attacker could modify tag retention policies configured in other projects.

Ссылки

https://github.com/goharbor/harbor/security/advisories/GHSA-3637-v6vq-xqqw
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:linuxfoundation:harbor:*:*:*:*:*:*:*:*

Версия от 1.0.0 (включая) до 1.10.13 (исключая)

cpe:2.3:a:linuxfoundation:harbor:*:*:*:*:*:*:*:*

Версия от 2.0.0 (включая) до 2.4.3 (исключая)

cpe:2.3:a:linuxfoundation:harbor:*:*:*:*:*:*:*:*

Версия от 2.5.0 (включая) до 2.5.2 (исключая)

EPSS

Процентиль: 31%

0.00116

Низкий

7.7 High

CVSS3

Дефекты

CWE-285

CWE-863

Связанные уязвимости

GHSA-3637-v6vq-xqqw

CVSS3: 7.7

github

почти 3 года назад

Harbor fails to validate the user permissions when updating tag retention policies

EPSS

Процентиль: 31%

0.00116

Низкий

7.7 High

CVSS3

Дефекты

CWE-285

CWE-863