Platform
go
Component
github.com/goharbor/harbor
Opgelost in
<v2.9.5
<v2.10.3
2.9.5
2.9.5+incompatible
CVE-2024-22278 beschrijft een kwetsbaarheid in Harbor, een open-source container registry. Deze kwetsbaarheid stelt aanvallers in staat om projectconfiguraties te wijzigen zonder de vereiste permissies, wat kan leiden tot ongeautoriseerde toegang en configuratiewijzigingen. De kwetsbaarheid treft versies van Harbor vóór 2.9.5+incompatible. Een update naar de beveiligde versie is beschikbaar om dit probleem te verhelpen.
Deze kwetsbaarheid kan aanzienlijke gevolgen hebben voor de beveiliging van containeromgevingen die Harbor gebruiken. Een aanvaller die deze kwetsbaarheid succesvol exploiteert, kan projectconfiguraties wijzigen, waardoor toegang tot gevoelige gegevens mogelijk wordt, of de functionaliteit van de container registry kan worden aangepast. Dit kan leiden tot datalekken, verstoring van de dienstverlening en andere beveiligingsincidenten. De impact is vergelijkbaar met scenario's waarin ongeautoriseerde gebruikers toegang krijgen tot en manipuleren van kritieke configuratiebestanden, wat de integriteit van de gehele containerinfrastructuur in gevaar brengt.
Op het moment van publicatie (2024-08-06) is er geen publiek beschikbare proof-of-concept (POC) bekend. De kwetsbaarheid is opgenomen in het CISA KEV-catalogus (KEV status onbekend). De kans op actieve exploitatie is momenteel niet hoog, maar het is belangrijk om de kwetsbaarheid te patchen om toekomstige risico's te minimaliseren. De NVD-datum is 2024-08-06.
Organizations heavily reliant on Harbor for container image storage and distribution are at significant risk. This includes DevOps teams, CI/CD pipelines, and any environment where containerized applications are deployed. Specifically, those using Harbor in multi-tenant environments or with complex RBAC configurations should prioritize patching.
• go / server:
journalctl -u harbor -f | grep -i 'permission denied'• generic web:
curl -I <harbor_url>/api/projects/<project_name> | grep -i '403 forbidden'disclosure
Exploit Status
EPSS
0.18% (39% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2024-22278 is het updaten van Harbor naar versie 2.9.5+incompatible of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot projectconfiguraties via netwerkregels of het implementeren van strikte toegangscontroles op het besturingssysteemniveau. Controleer de Harbor-documentatie voor specifieke instructies over het updaten en configureren van toegangscontroles. Na de upgrade, verifieer de configuratie door te proberen projectconfiguraties te wijzigen met een account dat geen beheerder is, om te bevestigen dat de permissies correct zijn afgedwongen.
Actualice Harbor a la versión 2.9.5 o superior, o a la versión 2.10.3 o superior. Esto corregirá la validación incorrecta de permisos de usuario al actualizar las configuraciones del proyecto. La actualización se puede realizar a través de la interfaz de usuario de Harbor o mediante la línea de comandos.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-22278 is a medium-severity authorization bypass vulnerability in Harbor, allowing unauthorized modification of project configurations before upgrading to version 2.9.5+incompatible.
You are affected if you are running Harbor versions prior to 2.9.5+incompatible. Check your current version and upgrade immediately.
Upgrade Harbor to version 2.9.5+incompatible or later. Implement stricter RBAC policies as an interim measure.
There is currently no evidence of active exploitation in the wild, but the vulnerability's nature makes it a potential target.
Refer to the official Harbor security advisory on their GitHub repository: [https://github.com/goharbor/harbor/security/advisories/GHSA-9999](https://github.com/goharbor/harbor/security/advisories/GHSA-9999)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.