CVSS: 6.4EPSS: 0%CPEs: 1EXPL: 0CVE-2024-22278 – Harbor fails to validate the user permissions when updating project configurations
https://notcve.org/view.php?id=CVE-2024-22278
02 Aug 2024 — Incorrect user permission validation in Harbor <v2.9.5 and Harbor <v2.10.3 allows authenticated users to modify configurations. La validación de permisos de usuario incorrecta en Harbor • https://github.com/goharbor/harbor/security/advisories/GHSA-hw28-333w-qxp3 • CWE-269: Improper Privilege Management •
CVSS: 6.5EPSS: 0%CPEs: 4EXPL: 1CVE-2023-20902 – Timing attack risk in Harbor
https://notcve.org/view.php?id=CVE-2023-20902
09 Nov 2023 — A timing condition in Harbor 2.6.x and below, Harbor 2.7.2 and below, Harbor 2.8.2 and below, and Harbor 1.10.17 and below allows an attacker with network access to create jobs/stop job tasks and retrieve job task information. Una condición de sincronización en Harbor 2.6.x y anteriores, Harbor 2.7.2 y anteriores, Harbor 2.8.2 y anteriores y Harbor 1.10.17 y anteriores permite a un atacante con acceso a la red crear trabajos/detener tareas de trabajo y recuperar información de tareas de trabajo. . • https://github.com/goharbor/harbor/security/advisories/GHSA-mq6f-5xh5-hgcf • CWE-362: Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition') •
CVSS: 7.8EPSS: 91%CPEs: 1EXPL: 3CVE-2022-46463
https://notcve.org/view.php?id=CVE-2022-46463
12 Jan 2023 — An access control issue in Harbor v1.X.X to v2.5.3 allows attackers to access public and private image repositories without authentication. NOTE: the vendor's position is that this "is clearly described in the documentation as a feature." Un problema de control de acceso en Harbor v1.XX a v2.5.3 permite a los atacantes acceder a repositorios de imágenes públicos y privados sin autenticación. NOTA: la posición del proveedor es que esto "se describe claramente en la documentación como una característica". • https://github.com/nu0l/CVE-2022-46463 • CWE-306: Missing Authentication for Critical Function •
CVSS: 5.3EPSS: 37%CPEs: 2EXPL: 2CVE-2019-19030
https://notcve.org/view.php?id=CVE-2019-19030
26 Dec 2022 — Cloud Native Computing Foundation Harbor before 1.10.3 and 2.x before 2.0.1 allows resource enumeration because unauthenticated API calls reveal (via the HTTP status code) whether a resource exists. Cloud Native Computing Foundation Harbor anterior a 1.10.3 y 2.x anterior a 2.0.1 permite la enumeración de recursos porque las llamadas API no autenticadas revelan (a través del código de estado HTTP) si existe un recurso. • https://github.com/shodanwashere/boatcrash •
CVSS: 5.3EPSS: 0%CPEs: 2EXPL: 0CVE-2020-29662
https://notcve.org/view.php?id=CVE-2020-29662
02 Feb 2021 — In Harbor 2.0 before 2.0.5 and 2.1.x before 2.1.2 the catalog’s registry API is exposed on an unauthenticated path. En Harbour versiones 2.0 anteriores a 2.0.5 y versiones 2.1.x anteriores a 2.1.2, la API de registro del catálogo está expuesta en una ruta no autenticada • https://github.com/goharbor/harbor/security/advisories/GHSA-38r5-34mr-mvm7 • CWE-319: Cleartext Transmission of Sensitive Information •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 2CVE-2020-13794
https://notcve.org/view.php?id=CVE-2020-13794
29 Sep 2020 — Harbor 1.9.* 1.10.* and 2.0.* allows Exposure of Sensitive Information to an Unauthorized Actor. Harbour versiones 1.9.* 1.10.* Y 2.0.*, permite una Exposición de Información Confidencial hacia un actor no autorizado • https://github.com/goharbor/harbor/releases • CWE-862: Missing Authorization •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 2CVE-2020-13788
https://notcve.org/view.php?id=CVE-2020-13788
15 Jul 2020 — Harbor prior to 2.0.1 allows SSRF with this limitation: an attacker with the ability to edit projects can scan ports of hosts accessible on the Harbor server's intranet. Harbor versiones anteriores a 2.0.1, permite un ataque de tipo SSRF con esta limitación: un atacante con la capacidad de editar proyectos puede escanear puertos de hosts accesibles en la intranet del servidor Harbor • https://github.com/goharbor/harbor/releases • CWE-918: Server-Side Request Forgery (SSRF) •
CVSS: 8.8EPSS: 0%CPEs: 3EXPL: 0CVE-2019-19023
https://notcve.org/view.php?id=CVE-2019-19023
20 Mar 2020 — Cloud Native Computing Foundation Harbor prior to 1.8.6 and 1.9.3 has a Privilege Escalation Vulnerability in the VMware Harbor Container Registry for the Pivotal Platform. Cloud Native Computing Foundation Harbor versiones anteriores a 1.8.6 y 1.9.3, presenta una Vulnerabilidad de Escalada de Privilegios en el VMware Harbor Container Registry para la Pivotal Platform. • https://github.com/goharbor/harbor/security/advisories •
CVSS: 7.2EPSS: 1%CPEs: 3EXPL: 0CVE-2019-19029
https://notcve.org/view.php?id=CVE-2019-19029
20 Mar 2020 — Cloud Native Computing Foundation Harbor prior to 1.8.6 and 1.9.3 allows SQL Injection via user-groups in the VMware Harbor Container Registry for the Pivotal Platform. Cloud Native Computing Foundation Harbor versiones anteriores a 1.8.6 y 1.9.3, permite una inyección SQL por medio de grupos de usuarios en el VMware Harbor Container Registry para la Pivotal Platform. • https://github.com/goharbor/harbor/security/advisories • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 4.9EPSS: 0%CPEs: 3EXPL: 0CVE-2019-19026
https://notcve.org/view.php?id=CVE-2019-19026
20 Mar 2020 — Cloud Native Computing Foundation Harbor prior to 1.8.6 and 1.9.3 allows SQL Injection via project quotas in the VMware Harbor Container Registry for the Pivotal Platform. Cloud Native Computing Foundation Harbor versiones anteriores a 1.8.6 y 1.9.3, permite una inyección SQL por medio de cuotas de proyecto en el VMware Harbor Container Registry para la Pivotal Platform. • https://github.com/goharbor/harbor/security/advisories • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •