प्लेटफ़ॉर्म
go
घटक
github.com/goharbor/harbor
में ठीक किया गया
<v2.9.5
<v2.10.3
2.9.5
2.9.5+incompatible
CVE-2024-22278 Harbor में एक भेद्यता है जो परियोजना कॉन्फ़िगरेशन अपडेट करते समय उपयोगकर्ता अनुमतियों के सत्यापन में विफलता के कारण उत्पन्न होती है। यह अनधिकृत उपयोगकर्ताओं को परियोजना सेटिंग्स में बदलाव करने की अनुमति दे सकता है, जिससे संभावित रूप से डेटा हानि या सिस्टम समझौता हो सकता है। यह भेद्यता Harbor के संस्करण 2.9.5 से पहले के संस्करणों को प्रभावित करती है, और 2.9.5+incompatible पर अपग्रेड करके इसे ठीक किया जा सकता है।
इस भेद्यता का शोषण करने वाला एक हमलावर परियोजना कॉन्फ़िगरेशन को संशोधित करके Harbor वातावरण को प्रभावित कर सकता है। वे महत्वपूर्ण सेटिंग्स बदल सकते हैं, जैसे कि पहुंच नियंत्रण, डेटा भंडारण नीतियां, या अन्य सुरक्षा-संबंधित पैरामीटर। इससे अनधिकृत पहुंच, डेटा उल्लंघन, या सिस्टम के संचालन में व्यवधान हो सकता है। परियोजना कॉन्फ़िगरेशन में किए गए परिवर्तन अन्य उपयोगकर्ताओं को भी प्रभावित कर सकते हैं, जिससे व्यापक प्रभाव हो सकता है। इस भेद्यता का प्रभाव परियोजना की संवेदनशीलता और कॉन्फ़िगरेशन की जटिलता पर निर्भर करता है।
CVE-2024-22278 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है। यह भेद्यता KEV (Know Exploited Vulnerabilities) सूची में शामिल नहीं है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक नहीं है। NVD (National Vulnerability Database) और CISA (Cybersecurity and Infrastructure Security Agency) ने इस भेद्यता के बारे में जानकारी प्रकाशित की है।
Organizations heavily reliant on Harbor for container image storage and distribution are at significant risk. This includes DevOps teams, CI/CD pipelines, and any environment where containerized applications are deployed. Specifically, those using Harbor in multi-tenant environments or with complex RBAC configurations should prioritize patching.
• go / server:
journalctl -u harbor -f | grep -i 'permission denied'• generic web:
curl -I <harbor_url>/api/projects/<project_name> | grep -i '403 forbidden'disclosure
एक्सप्लॉइट स्थिति
EPSS
0.18% (39% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2024-22278 को कम करने के लिए, Harbor को तुरंत संस्करण 2.9.5+incompatible या बाद के संस्करण में अपग्रेड करना महत्वपूर्ण है। यदि अपग्रेड करना तत्काल संभव नहीं है, तो एक अस्थायी समाधान के रूप में, Harbor के लिए सख्त पहुंच नियंत्रण लागू करें, यह सुनिश्चित करते हुए कि केवल अधिकृत उपयोगकर्ताओं के पास परियोजना कॉन्फ़िगरेशन को संशोधित करने की अनुमति है। वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके अनधिकृत अनुरोधों को ब्लॉक किया जा सकता है। Harbor के लॉग की नियमित रूप से निगरानी करें ताकि किसी भी संदिग्ध गतिविधि का पता लगाया जा सके।
Actualice Harbor a la versión 2.9.5 o superior, o a la versión 2.10.3 o superior. Esto corregirá la validación incorrecta de permisos de usuario al actualizar las configuraciones del proyecto. La actualización se puede realizar a través de la interfaz de usuario de Harbor o mediante la línea de comandos.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-22278 Harbor में एक भेद्यता है जो परियोजना कॉन्फ़िगरेशन अपडेट करते समय उपयोगकर्ता अनुमतियों के सत्यापन में विफलता के कारण उत्पन्न होती है। इससे अनधिकृत उपयोगकर्ता परियोजना सेटिंग्स बदल सकते हैं।
यदि आप Harbor के संस्करण 2.9.5 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2024-22278 को ठीक करने के लिए, Harbor को संस्करण 2.9.5+incompatible या बाद के संस्करण में अपग्रेड करें।
CVE-2024-22278 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसका शोषण किया जा सकता है।
आप आधिकारिक Harbor सलाहकार GitHub पर पा सकते हैं: [https://github.com/goharbor/harbor/security/advisories/GHSA-9999](https://github.com/goharbor/harbor/security/advisories/GHSA-9999)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी go.mod फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।