CVSS: 6.5EPSS: 0%CPEs: 4EXPL: 1CVE-2023-20902 – Timing attack risk in Harbor
https://notcve.org/view.php?id=CVE-2023-20902
09 Nov 2023 — A timing condition in Harbor 2.6.x and below, Harbor 2.7.2 and below, Harbor 2.8.2 and below, and Harbor 1.10.17 and below allows an attacker with network access to create jobs/stop job tasks and retrieve job task information. Una condición de sincronización en Harbor 2.6.x y anteriores, Harbor 2.7.2 y anteriores, Harbor 2.8.2 y anteriores y Harbor 1.10.17 y anteriores permite a un atacante con acceso a la red crear trabajos/detener tareas de trabajo y recuperar información de tareas de trabajo. . • https://github.com/goharbor/harbor/security/advisories/GHSA-mq6f-5xh5-hgcf • CWE-362: Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition') •
CVSS: 7.8EPSS: 91%CPEs: 1EXPL: 3CVE-2022-46463
https://notcve.org/view.php?id=CVE-2022-46463
12 Jan 2023 — An access control issue in Harbor v1.X.X to v2.5.3 allows attackers to access public and private image repositories without authentication. NOTE: the vendor's position is that this "is clearly described in the documentation as a feature." Un problema de control de acceso en Harbor v1.XX a v2.5.3 permite a los atacantes acceder a repositorios de imágenes públicos y privados sin autenticación. NOTA: la posición del proveedor es que esto "se describe claramente en la documentación como una característica". • https://github.com/nu0l/CVE-2022-46463 • CWE-306: Missing Authentication for Critical Function •
CVSS: 5.3EPSS: 37%CPEs: 2EXPL: 2CVE-2019-19030
https://notcve.org/view.php?id=CVE-2019-19030
26 Dec 2022 — Cloud Native Computing Foundation Harbor before 1.10.3 and 2.x before 2.0.1 allows resource enumeration because unauthenticated API calls reveal (via the HTTP status code) whether a resource exists. Cloud Native Computing Foundation Harbor anterior a 1.10.3 y 2.x anterior a 2.0.1 permite la enumeración de recursos porque las llamadas API no autenticadas revelan (a través del código de estado HTTP) si existe un recurso. • https://github.com/shodanwashere/boatcrash •
CVSS: 5.3EPSS: 0%CPEs: 2EXPL: 0CVE-2020-29662
https://notcve.org/view.php?id=CVE-2020-29662
02 Feb 2021 — In Harbor 2.0 before 2.0.5 and 2.1.x before 2.1.2 the catalog’s registry API is exposed on an unauthenticated path. En Harbour versiones 2.0 anteriores a 2.0.5 y versiones 2.1.x anteriores a 2.1.2, la API de registro del catálogo está expuesta en una ruta no autenticada • https://github.com/goharbor/harbor/security/advisories/GHSA-38r5-34mr-mvm7 • CWE-319: Cleartext Transmission of Sensitive Information •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 2CVE-2020-13794
https://notcve.org/view.php?id=CVE-2020-13794
29 Sep 2020 — Harbor 1.9.* 1.10.* and 2.0.* allows Exposure of Sensitive Information to an Unauthorized Actor. Harbour versiones 1.9.* 1.10.* Y 2.0.*, permite una Exposición de Información Confidencial hacia un actor no autorizado • https://github.com/goharbor/harbor/releases • CWE-862: Missing Authorization •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 2CVE-2020-13788
https://notcve.org/view.php?id=CVE-2020-13788
15 Jul 2020 — Harbor prior to 2.0.1 allows SSRF with this limitation: an attacker with the ability to edit projects can scan ports of hosts accessible on the Harbor server's intranet. Harbor versiones anteriores a 2.0.1, permite un ataque de tipo SSRF con esta limitación: un atacante con la capacidad de editar proyectos puede escanear puertos de hosts accesibles en la intranet del servidor Harbor • https://github.com/goharbor/harbor/releases • CWE-918: Server-Side Request Forgery (SSRF) •