预警Harbor 未授权创建管理员漏洞(CVE-2019-16097)

释放双眼,带上耳机,听听看~!

近日,本站安全专题监测到镜像仓库Harbor爆出任意管理员注册漏洞,攻击者在请求中构造特定字符串,在未授权的情况下可以直接创建管理员账号,从而接管Harbor镜像仓库。官方已发布公告说明,最新的1.7.6和1.8.3已修复此漏洞,请使用到的用户尽快升级至安全版本。

漏洞描述

Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器。Harbor 1.7.0版本至1.8.2版本中的core/api/user.go文件存在安全漏洞。攻击者通过在请求中添加关键参数,即可利用该漏洞创建管理员账户,从而接管Harbor镜像仓库。

影响版本

Harbor 1.7.0版本至1.8.2版本

安全版本

Harbor >= 1.7.6

Harbor >= 1.8.3

安全建议

升级Harbor版本到 1.7.6 和 1.8.3

参考下载链接:https://github.com/goharbor/harbor/releases

云盾云中心已支持对该漏洞检测

云盾云中心应急漏洞模块已支持对该漏洞一键检测

云盾云中心已可防御此漏洞攻击

相关链接

https://github.com/goharbor/harbor/issues/8951

https://unit42.paloaltonetworks.com/critical-vulnerability-in-harbor-enables-privilege-escalation-from-zero-to-admin-cve-2019-16097/

我们会关注后续进展,请随时关注官方公告。

如有任何问题,可随时通过工单反馈。

                                                                                                        本站安全专题

2019.9.19

给TA打赏
共{{data.count}}人
人已打赏
安全漏洞

Rails 5.2.4.1 与 6.0.2.1 发布,修复漏洞

2019-12-19 11:12:22

安全漏洞

腾讯 Blade Team 获封 CNVD “最具价值漏洞”奖

2019-12-31 11:12:22

个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索