Plataforma
go
Componente
github.com/goharbor/harbor
Corregido en
<v2.9.5
<v2.10.3
2.9.5
2.9.5+incompatible
CVE-2024-22278 describe una vulnerabilidad de permisos en Harbor, un proyecto de código abierto para el almacenamiento de imágenes de contenedores. Esta falla permite a usuarios con privilegios insuficientes modificar la configuración de los proyectos, lo que podría resultar en una pérdida de control sobre el entorno de contenedores. La vulnerabilidad afecta a versiones anteriores a 2.9.5+incompatible y se recomienda actualizar a la versión corregida para solucionar el problema.
La explotación de esta vulnerabilidad permite a atacantes sin la autorización adecuada modificar la configuración de los proyectos en Harbor. Esto podría incluir cambios en las políticas de acceso, la configuración de la red o incluso la eliminación de imágenes de contenedores. El impacto potencial es significativo, ya que un atacante podría comprometer la seguridad de todo el entorno de contenedores. Un atacante podría, por ejemplo, modificar las políticas de acceso para permitir el acceso no autorizado a imágenes sensibles o incluso insertar imágenes maliciosas en el registro. La severidad de este impacto depende de la criticidad de los proyectos almacenados en Harbor y del nivel de acceso que el atacante pueda obtener.
Esta vulnerabilidad fue publicada el 6 de agosto de 2024. Actualmente no se dispone de información sobre explotación activa en la naturaleza. No se ha añadido a la lista KEV de CISA ni se ha identificado un EPSS score. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad relacionada con esta vulnerabilidad.
Organizations heavily reliant on Harbor for container image storage and distribution are at significant risk. This includes DevOps teams, CI/CD pipelines, and any environment where containerized applications are deployed. Specifically, those using Harbor in multi-tenant environments or with complex RBAC configurations should prioritize patching.
• go / server:
journalctl -u harbor -f | grep -i 'permission denied'• generic web:
curl -I <harbor_url>/api/projects/<project_name> | grep -i '403 forbidden'disclosure
Estado del Exploit
EPSS
0.18% (39% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-22278 es actualizar Harbor a la versión 2.9.5+incompatible o superior. Si la actualización inmediata no es posible, se recomienda revisar cuidadosamente los permisos de usuario y asegurar que solo los usuarios autorizados tengan acceso a la configuración de los proyectos. Implementar una política de mínimo privilegio es crucial. Además, se debe monitorear los registros de Harbor en busca de actividades sospechosas, como modificaciones no autorizadas en la configuración de los proyectos. No existen reglas WAF o proxies específicas para esta vulnerabilidad, la actualización es la solución principal.
Actualice Harbor a la versión 2.9.5 o superior, o a la versión 2.10.3 o superior. Esto corregirá la validación incorrecta de permisos de usuario al actualizar las configuraciones del proyecto. La actualización se puede realizar a través de la interfaz de usuario de Harbor o mediante la línea de comandos.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-22278 is a medium-severity authorization bypass vulnerability in Harbor, allowing unauthorized modification of project configurations before upgrading to version 2.9.5+incompatible.
You are affected if you are running Harbor versions prior to 2.9.5+incompatible. Check your current version and upgrade immediately.
Upgrade Harbor to version 2.9.5+incompatible or later. Implement stricter RBAC policies as an interim measure.
There is currently no evidence of active exploitation in the wild, but the vulnerability's nature makes it a potential target.
Refer to the official Harbor security advisory on their GitHub repository: [https://github.com/goharbor/harbor/security/advisories/GHSA-9999](https://github.com/goharbor/harbor/security/advisories/GHSA-9999)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.