CVSS: 6.5EPSS: 0%CPEs: 4EXPL: 1CVE-2023-20902 – Timing attack risk in Harbor
https://notcve.org/view.php?id=CVE-2023-20902
A timing condition in Harbor 2.6.x and below, Harbor 2.7.2 and below, Harbor 2.8.2 and below, and Harbor 1.10.17 and below allows an attacker with network access to create jobs/stop job tasks and retrieve job task information. Una condición de sincronización en Harbor 2.6.x y anteriores, Harbor 2.7.2 y anteriores, Harbor 2.8.2 y anteriores y Harbor 1.10.17 y anteriores permite a un atacante con acceso a la red crear trabajos/detener tareas de trabajo y recuperar información de tareas de trabajo. . • https://github.com/goharbor/harbor/security/advisories/GHSA-mq6f-5xh5-hgcf • CWE-362: Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition') •
CVSS: 7.5EPSS: 6%CPEs: 1EXPL: 2CVE-2022-46463
https://notcve.org/view.php?id=CVE-2022-46463
An access control issue in Harbor v1.X.X to v2.5.3 allows attackers to access public and private image repositories without authentication. NOTE: the vendor's position is that this "is clearly described in the documentation as a feature." Un problema de control de acceso en Harbor v1.XX a v2.5.3 permite a los atacantes acceder a repositorios de imágenes públicos y privados sin autenticación. NOTA: la posición del proveedor es que esto "se describe claramente en la documentación como una característica". • https://github.com/nu0l/CVE-2022-46463 https://github.com/404tk/CVE-2022-46463 https://github.com/Vad1mo https://github.com/lanqingaa/123/blob/main/README.md https://github.com/lanqingaa/123/tree/bb48caa844d88b0e41e69157f2a2734311abf02d • CWE-306: Missing Authentication for Critical Function •
CVSS: 5.3EPSS: 0%CPEs: 2EXPL: 1CVE-2019-19030
https://notcve.org/view.php?id=CVE-2019-19030
Cloud Native Computing Foundation Harbor before 1.10.3 and 2.x before 2.0.1 allows resource enumeration because unauthenticated API calls reveal (via the HTTP status code) whether a resource exists. Cloud Native Computing Foundation Harbor anterior a 1.10.3 y 2.x anterior a 2.0.1 permite la enumeración de recursos porque las llamadas API no autenticadas revelan (a través del código de estado HTTP) si existe un recurso. • https://github.com/goharbor/harbor/security/advisories/GHSA-q9x4-q76f-5h5j •
CVSS: 5.3EPSS: 0%CPEs: 2EXPL: 0CVE-2020-29662
https://notcve.org/view.php?id=CVE-2020-29662
In Harbor 2.0 before 2.0.5 and 2.1.x before 2.1.2 the catalog’s registry API is exposed on an unauthenticated path. En Harbour versiones 2.0 anteriores a 2.0.5 y versiones 2.1.x anteriores a 2.1.2, la API de registro del catálogo está expuesta en una ruta no autenticada • https://github.com/goharbor/harbor/security/advisories/GHSA-38r5-34mr-mvm7 • CWE-319: Cleartext Transmission of Sensitive Information •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 2CVE-2020-13794
https://notcve.org/view.php?id=CVE-2020-13794
Harbor 1.9.* 1.10.* and 2.0.* allows Exposure of Sensitive Information to an Unauthorized Actor. Harbour versiones 1.9.* 1.10.* Y 2.0.*, permite una Exposición de Información Confidencial hacia un actor no autorizado • https://github.com/goharbor/harbor/releases https://github.com/goharbor/harbor/security/advisories/GHSA-q9p8-33wc-h432 https://www.cybereagle.io/blog/cve-2020-13794 • CWE-862: Missing Authorization •