CVE-2023-20902 – Timing attack risk in Harbor
https://notcve.org/view.php?id=CVE-2023-20902
A timing condition in Harbor 2.6.x and below, Harbor 2.7.2 and below, Harbor 2.8.2 and below, and Harbor 1.10.17 and below allows an attacker with network access to create jobs/stop job tasks and retrieve job task information. Una condición de sincronización en Harbor 2.6.x y anteriores, Harbor 2.7.2 y anteriores, Harbor 2.8.2 y anteriores y Harbor 1.10.17 y anteriores permite a un atacante con acceso a la red crear trabajos/detener tareas de trabajo y recuperar información de tareas de trabajo. . • https://github.com/goharbor/harbor/security/advisories/GHSA-mq6f-5xh5-hgcf • CWE-362: Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition') •
CVE-2022-46463
https://notcve.org/view.php?id=CVE-2022-46463
An access control issue in Harbor v1.X.X to v2.5.3 allows attackers to access public and private image repositories without authentication. NOTE: the vendor's position is that this "is clearly described in the documentation as a feature." Un problema de control de acceso en Harbor v1.XX a v2.5.3 permite a los atacantes acceder a repositorios de imágenes públicos y privados sin autenticación. NOTA: la posición del proveedor es que esto "se describe claramente en la documentación como una característica". • https://github.com/nu0l/CVE-2022-46463 https://github.com/404tk/CVE-2022-46463 https://github.com/Vad1mo https://github.com/lanqingaa/123/blob/main/README.md https://github.com/lanqingaa/123/tree/bb48caa844d88b0e41e69157f2a2734311abf02d • CWE-306: Missing Authentication for Critical Function •
CVE-2019-19030
https://notcve.org/view.php?id=CVE-2019-19030
Cloud Native Computing Foundation Harbor before 1.10.3 and 2.x before 2.0.1 allows resource enumeration because unauthenticated API calls reveal (via the HTTP status code) whether a resource exists. Cloud Native Computing Foundation Harbor anterior a 1.10.3 y 2.x anterior a 2.0.1 permite la enumeración de recursos porque las llamadas API no autenticadas revelan (a través del código de estado HTTP) si existe un recurso. • https://github.com/goharbor/harbor/security/advisories/GHSA-q9x4-q76f-5h5j •
CVE-2020-13794
https://notcve.org/view.php?id=CVE-2020-13794
Harbor 1.9.* 1.10.* and 2.0.* allows Exposure of Sensitive Information to an Unauthorized Actor. Harbour versiones 1.9.* 1.10.* Y 2.0.*, permite una Exposición de Información Confidencial hacia un actor no autorizado • https://github.com/goharbor/harbor/releases https://github.com/goharbor/harbor/security/advisories/GHSA-q9p8-33wc-h432 https://www.cybereagle.io/blog/cve-2020-13794 • CWE-862: Missing Authorization •
CVE-2020-13788
https://notcve.org/view.php?id=CVE-2020-13788
Harbor prior to 2.0.1 allows SSRF with this limitation: an attacker with the ability to edit projects can scan ports of hosts accessible on the Harbor server's intranet. Harbor versiones anteriores a 2.0.1, permite un ataque de tipo SSRF con esta limitación: un atacante con la capacidad de editar proyectos puede escanear puertos de hosts accesibles en la intranet del servidor Harbor • https://github.com/goharbor/harbor/releases https://www.soluble.ai/blog/harbor-ssrf-cve-2020-13788 https://www.youtube.com/watch?v=v8Isqy4yR3Q • CWE-918: Server-Side Request Forgery (SSRF) •