漏洞描述 Harbor 1.7.6之前版本和Harbor1.8.3之前版本中的core/api/user.go文件存在安全漏洞。若开放注册功能,攻击者可利用该漏洞创建admin账户。注册功能默认开放。攻击者可以以管理员身份下载私有项目并审计;可以删除或污染所有镜像。目前PoC已公开,建议受影响的客户尽快升级。
相关漏洞推荐 CVE-2019-16097: Harbor Enables Privilege Escalation From Zero to admin POC CVE-2019-16097: Harbor <=1.82.0 - Privilege Escalation POC CVE-2022-46463: Harbor <=2.5.3 - Unauthorized Access Harbor CVE-2022-46463 未授权访问漏洞 Harbor Project Harbor用户API权限提升漏洞 Harbor未授权访问漏洞 (cve-2020-29662)