Plataforma
go
Componente
github.com/goharbor/harbor
Corrigido em
<v2.9.5
<v2.10.3
2.9.5
2.9.5+incompatible
O CVE-2024-22278 representa uma falha de permissão no Harbor, um projeto Go que fornece uma plataforma de registro de contêineres privado e gerenciado. Essa vulnerabilidade permite que um atacante modifique as configurações de um projeto, potencialmente comprometendo a segurança e a integridade do ambiente de contêineres. A falha afeta versões anteriores a 2.9.5+incompatible e pode ser mitigada atualizando para a versão corrigida.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante, com permissões insuficientes, altere as configurações de um projeto no Harbor. Isso pode incluir a modificação de políticas de acesso, a alteração de configurações de replicação ou a introdução de imagens maliciosas no registro. O impacto potencial é significativo, pois pode levar à perda de controle sobre o ambiente de contêineres, comprometimento de dados e interrupção de serviços. Um atacante poderia, por exemplo, alterar as políticas de acesso para permitir a escrita em repositórios protegidos, ou injetar imagens de contêiner maliciosas que se propagariam para outros sistemas que utilizam o registro Harbor.
O CVE-2024-22278 foi publicado em 06 de agosto de 2024. Não há informações disponíveis sobre a adição a KEV ou a existência de um EPSS score. Atualmente, não há um Proof of Concept (PoC) público amplamente divulgado, mas a natureza da vulnerabilidade sugere que a exploração pode ser relativamente simples para um atacante com conhecimento do Harbor. Verifique o site do projeto Harbor e as fontes de notícias de segurança para atualizações sobre a exploração ativa.
Organizations heavily reliant on Harbor for container image storage and distribution are at significant risk. This includes DevOps teams, CI/CD pipelines, and any environment where containerized applications are deployed. Specifically, those using Harbor in multi-tenant environments or with complex RBAC configurations should prioritize patching.
• go / server:
journalctl -u harbor -f | grep -i 'permission denied'• generic web:
curl -I <harbor_url>/api/projects/<project_name> | grep -i '403 forbidden'disclosure
Status do Exploit
EPSS
0.18% (percentil 39%)
CISA SSVC
Vetor CVSS
A mitigação primária para o CVE-2024-22278 é atualizar o Harbor para a versão 2.9.5+incompatible ou superior. Caso a atualização imediata não seja possível, implemente controles de acesso rigorosos para garantir que apenas usuários autorizados possam modificar as configurações do projeto. Revise e reforce as políticas de permissão existentes para minimizar o impacto potencial de uma exploração. Considere a implementação de um sistema de monitoramento para detectar alterações não autorizadas nas configurações do projeto. Não há soluções de WAF ou proxy aplicáveis diretamente a esta vulnerabilidade, pois ela reside na lógica interna do Harbor.
Actualice Harbor a la versión 2.9.5 o superior, o a la versión 2.10.3 o superior. Esto corregirá la validación incorrecta de permisos de usuario al actualizar las configuraciones del proyecto. La actualización se puede realizar a través de la interfaz de usuario de Harbor o mediante la línea de comandos.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-22278 is a medium-severity authorization bypass vulnerability in Harbor, allowing unauthorized modification of project configurations before upgrading to version 2.9.5+incompatible.
You are affected if you are running Harbor versions prior to 2.9.5+incompatible. Check your current version and upgrade immediately.
Upgrade Harbor to version 2.9.5+incompatible or later. Implement stricter RBAC policies as an interim measure.
There is currently no evidence of active exploitation in the wild, but the vulnerability's nature makes it a potential target.
Refer to the official Harbor security advisory on their GitHub repository: [https://github.com/goharbor/harbor/security/advisories/GHSA-9999](https://github.com/goharbor/harbor/security/advisories/GHSA-9999)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.