一、软件背景
Harbor 是一个开源的 Docker Registry 管理项目,用于托管容器镜像。
Harbor 受影响版本中镜像仓库存在访问控制缺陷,攻击者可通过页面搜索镜像名称,绕过登陆验证逻辑,直接查看结果中未授权的私有镜像仓库并获取仓库信息(Pull、Push的时间和commit信息,以及镜像存在的漏洞信息等)。
二、影响版本
1.1.0-rc1 - 2.6.0
三、漏洞分析、使用
本漏洞广泛存在于业界使用的harbor版本中。使用也非常简单。不过harbor常放置于企业内网,可以缓解该问题。
四、修复
升级harbor到 2.6.0 或更高版本