Oxeye安全研究团队在Harbor(由云本地计算基金会(CNCF)和VMWare开发的开源构件注册中心)中发现了几个高严重性不安全的直接对象引用(IDOR)漏洞。
该公司解释说,尽管Harbor已在大多数HTTP端点上实施了基于角色的访问控制 (RBAC),但仍发现了这五个缺陷。
据报道,其中一个导致了webhook策略的披露,而另一个导致了作业执行日志的披露。
Oxeye 在关于新漏洞的咨询中解释道:“管理对运营和资源的访问可能是一个具有挑战性的目标。在项目中使用基于 RBAC 的方法有几个好处。它简化了为实体创建可重复的权限分配,并在跟踪潜在问题方面更容易审计用户权限。”
尽管已经编写了几篇关于在应用程序中正确结合 RBAC 的教程,但Oxeye认为其中许多教程缺乏关于如何利用RBAC的力量来防止 IDOR 漏洞。
Oxeye咨询说:“您的应用程序公开的每个新API端点都应使用可用的最严格的角色。也就是说,将角色限制为仅需要的权限,而不是可能被滥用的过多权限。”
据该公司称,在实施新的 API 端点之后,应该进行全面的测试,模拟威胁行为者如何破坏建议的权限模型。
例如,如果应用程序公开了一个重置用户密码的端点,则模拟如果用户从不同用户的上下文调用此API端点会发生什么。
由于实施中的这些限制,Oxeye表示RBAC并不是万能的,遵循安全最佳实践对于确保应用程序免受IDOR漏洞的伤害至关重要。
VMware Project Harbor的产品线经理Roger Klorese说:“我们和我们的社区开发的开源软件以及我们和我们的合作伙伴分发的商业发行版的质量对我们和使用它的组织来说至关重要。我们感谢 Oxeye 及其研究人员在发现漏洞方面的勤奋以及在帮助我们解决漏洞方面的出色合作。”
修复的 Harbor 漏洞是在 VMware发布补丁以修复其 VMware Tools 实用程序套件中的一个严重安全漏洞之后的几周。