CVE-2022-46463 Harbor Unauthorized Access Vulnerability
Severity: Critical
CVSSv3 Score: N/A
Mô tả:
Harbor là một open source cloud native registry, dùng để lưu trữ, đánh dấu, scan các container images để phát hiện các lỗ hổng bảo mật. Harbor cung cấp giải pháp để xây dựng, phát triển và triển khai các ứng dụng dựa trên container, nó cũng cung cấp tính năng quản lý lịch sử của container images, bảo mật và quản lý quyền truy cập project cho các doanh nghiệp.
Ngày 12/01/2023, CVE-2022-46463 được công bố ghi nhận lỗi truy cập không xác thực (improper authentication) tồn tại trong sản phẩm Harbor version từ v1.x.x tới v2.5.3.
Bắt nguồn từ một lỗ hổng trong khâu kiểm soát truy cập, kẻ tấn công có thể truy cập tất cả thông tin của public hoặc private image repositories và từ đó có thể pull image mà không cần phải login xác thực.
Hiện tại đã có PoC khai thác lỗ hổng CVE-2022-46463 rộng rãi trên internet: https://github.com/nu0l/CVE-2022-46463.
Version bị ảnh hưởng:
- v1.x.x <= Harbor <= v2.5.3
Version không bị ảnh hưởng:
- Harbor v2.5.x > v2.5.3
- Harbor v2.6.x
- Harbor v2.7.x
Cách khắc phục:
ISO.SM khuyến nghị các sysadmin nâng cấp Harbor tới các phiên bản không bị ảnh hưởng (https://github.com/goharbor/harbor/releases).
Tham khảo:
https://www.cve.org/CVERecord?id=CVE-2022-46463
https://github.com/lanqingaa/123
https://github.com/advisories/GHSA-5c53-mg2q-8qhc
https://nsfocusglobal.com/harbor-unauthorized-access-vulnerability-cve-2022-46463-alert/