Оффлайн
- Регистрация
- 12.01.18
- Сообщения
- 1.064
- Реакции
- 189
- Репутация
- 10
You must be registered for see images attach
Harbor представляет собой облачный реестр с открытым исходным кодом, поддерживаемый компанией Cloud Native Computing Foundation (CNCF), который хранит, подписывает и сканирует изображения контейнеров на наличие уязвимостей.
Обнаруженная уязвмость (CVE-2019-16097) позволяет злоумышленникам отправлять вредоносный запрос на целевую систему и регистрировать нового пользователя с привилегиями администратора. Для этого необходимо отправить POST-запрос к «/ api / users» в «/ api / users» с полезной нагрузкой, содержащей сведения о пользователе, а также добавить параметр «HasAdminRole». Если тот же запрос будет отправлен с параметром «had_admin_role»=«True», то новый пользователь станет администратором. Помимо этого, существует также возможность удалить изображения из реестра и загрузить вредоносное ПО.
По результатам поисковых запросов исследователь обнаружил 1,3 тыс. уязвимых установок Harbor в открытом доступе.
Harbour выпустила исправила данную уязвимость в версиях 1.7.6 и 1.8.3.
Сассон опубликовал PoC-код уязвимости в виде Python-скрипта, который отправляет запрос на создание нового пользователя с правами администратора. После выполнения сценария можно войти в целевой реестр Harbor из web-браузера.
*Источник - https://www.securitylab.ru/news/501258.php