Harbor多个漏洞安全威胁通告-郑州大学信息化办公室网络管理中心

Harbor多个漏洞安全威胁通告

发布时间：2019-12-11 点击：次

今日在 Harbor 官方仓库公布了 5 个漏洞，其中包括 2 个官方定级为严重的漏洞（CVE-2019-19025、CVE-2019-19023），2个高危级别漏洞（CVE-2019-19029、CVE-2019-19026），1个中等级别漏洞（CVE-2019-3990）。

Harbor是一个开源镜像管理项目，通过添加一些用户常用的功能特性，例如安全、标识和管理等，扩展了开源Docker Distribution。

CVE-2019-19025：缺少 CSRF 保护漏洞，Harbor Web界面未实现针对跨站点请求伪造（CSRF）的保护机制。通过把经过身份验证的用户吸引到事先准备好的第三方网站，可导致第三方代表经过身份验证的用户或管理员在平台上执行任意操作。
CVE-2019-19023：特权提升漏洞，该漏洞使普通用户可以通过API调用来修改特定用户的电子邮件地址，从而获得管理员帐户特权。漏洞源于Harbor API没有对修改电子邮件地址的API请求进行适当的权限限制。
CVE-2019-19029：通过用户组进行SQL注入，具有项目管理功能的用户可以利用SQL注入来从底层数据库读取机密信息或进行权限提升。
CVE-2019-19026：通过项目quotas进行SQL注入，Harbor API的quotas部分存在一个SQL注入漏洞。经过身份验证的管理员可以通过GET参数发送特制的SQL有效负载，从而从数据库中提取敏感信息。
CVE-2019-3990：用户枚举漏洞，该漏洞存在于 "/users" api 中，这个功能应该仅限于管理员使用，可是该限制可被绕过，非管理员用户（例如通过自我注册创建的用户）可以通过向 /api/users/search发送 GET请求来列出所有用户名和用户ID、确认与用户名关联的电子邮件地址等。