CVE-2019-19030

CVSS 5.3 MEDIUMEPSS 1.9%CWE-204

Em resumo

A API do Harbor revela a existência de recursos através de códigos de status HTTP diferentes para usuários não autenticados, permitindo que atacantes descubram quais projetos e repositórios estão no sistema sem fazer login.

Detalhe técnico

Vulnerabilidade CWE-204 de divulgação de informações nos endpoints da API do Harbor que respondem com códigos de status diferenciados (por exemplo, 404 versus 403) permitindo enumeração não autenticada de recursos. Não requer autenticação; o impacto é a exposição do inventário do sistema.

Resumo gerado e traduzido por IA a partir da descrição oficial.

Cloud Native Computing Foundation Harbor before 1.10.3 and 2.x before 2.0.1 allows resource enumeration because unauthenticated API calls reveal (via the HTTP status code) whether a resource exists.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Produtos afetados

n/a · n/a

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://github.com/goharbor/harbor/security/advisories/GHSA-q9x4-q76f-5h5j