MEDIUMCVE-2024-22278CVSS 5.5

Harbor は、github.com/goharbor/harbor 内でプロジェクト構成を更新する際に、ユーザー権限を検証しません

Q: CVE-2024-22278 — 権限昇格 in Harborとは何ですか？

CVE-2024-22278は、Harborプロジェクト設定の更新時にユーザー権限を検証しない脆弱性です。攻撃者はこの脆弱性を悪用して、プロジェクト設定を不正に変更し、権限を昇格させることが可能です。

Q: CVE-2024-22278 in Harborに影響を受けますか？

Harborのバージョンが2.9.5以前を使用している場合は、影響を受けます。2.9.5+incompatible以上にアップデートすることで修正されます。

Q: CVE-2024-22278 in Harborを修正するにはどうすればよいですか？

Harborを2.9.5+incompatible以上にアップデートしてください。アップデート前にバックアップを取得し、テスト環境で検証することを推奨します。

Q: CVE-2024-22278は積極的に悪用されていますか？

現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、公開されている脆弱性情報に基づき、攻撃者が悪用する可能性は否定できません。

Q: CVE-2024-22278に関する公式Harborのアドバイザリはどこで入手できますか？

github.com/goharbor/harborのリポジトリで関連情報を確認してください。

プラットフォーム

コンポーネント

github.com/goharbor/harbor

修正版

<v2.9.5

<v2.10.3

2.9.5

2.9.5+incompatible

AI Confidence: highNVDEPSS 0.2%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-22278は、github.com/goharbor/harborにおけるプロジェクト設定の更新時の権限検証不備に起因する脆弱性です。この脆弱性を悪用されると、攻撃者はプロジェクト設定を不正に変更し、権限を昇格させることが可能です。影響を受けるバージョンはHarbor 2.9.5以前であり、2.9.5+incompatibleへのアップデートで修正されています。

影響と攻撃シナリオ

この脆弱性は、攻撃者がHarborのプロジェクト設定を不正に更新し、権限を昇格させることを可能にします。例えば、攻撃者はプロジェクトのアクセス制御ポリシーを変更し、本来アクセスできないリソースにアクセスしたり、他のユーザーの権限を乗っ取ったりする可能性があります。これにより、機密情報の漏洩、データの改ざん、システムの制御喪失といった深刻な被害が発生する可能性があります。この脆弱性は、Harborの管理インターフェースやAPIを介して悪用される可能性があります。

悪用の状況

CVE-2024-22278は2024年8月6日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、公開されている脆弱性情報に基づき、攻撃者がこの脆弱性を悪用する可能性は否定できません。CISAのKEVリストへの登録状況は不明です。公開されているPoCは確認されていません。

リスク対象者翻訳中…

Organizations heavily reliant on Harbor for container image storage and distribution are at significant risk. This includes DevOps teams, CI/CD pipelines, and any environment where containerized applications are deployed. Specifically, those using Harbor in multi-tenant environments or with complex RBAC configurations should prioritize patching.

検出手順翻訳中…

• go / server:

journalctl -u harbor -f | grep -i 'permission denied'

• generic web:

curl -I <harbor_url>/api/projects/<project_name> | grep -i '403 forbidden'

攻撃タイムライン

2024-08-06Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.18% (39% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントgithub.com/goharbor/harbor

ベンダーosv

影響範囲修正版

2.9.4 – <v2.9.5<v2.9.5

2.10.2 – <v2.10.3<v2.10.3

—2.9.5

2.10.0+incompatible2.9.5+incompatible

弱点分類 (CWE)

CWE-269

タイムライン

予約済み2024-01-08
公開日2024-08-06
更新日2026-03-03
EPSS 更新日2026-04-02

緩和策と回避策

この脆弱性への対応策として、まずHarborを2.9.5+incompatible以上にアップデートすることを推奨します。アップデートがシステムに影響を与える可能性がある場合は、事前にバックアップを取得し、テスト環境でアップデートを検証してください。WAFやプロキシサーバーを使用して、不正なプロジェクト設定更新リクエストをブロックすることも有効です。また、Harborのアクセス制御ポリシーを厳格に設定し、不要な権限を付与しないようにすることも重要です。アップデート後、プロジェクト設定が正しく適用されていることを確認してください。

修正方法翻訳中…

Actualice Harbor a la versión 2.9.5 o superior, o a la versión 2.10.3 o superior. Esto corregirá la validación incorrecta de permisos de usuario al actualizar las configuraciones del proyecto. La actualización se puede realizar a través de la interfaz de usuario de Harbor o mediante la línea de comandos.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-22278 — 権限昇格 in Harborとは何ですか？