一、 漏洞 CVE-2022-46463 基础信息
漏洞信息
                                        # N/A

## 概述
Harbor v1.X.X 到 v2.5.3 版本中存在一个访问控制问题,允许攻击者无需认证即可访问公共和私有镜像仓库。

## 影响版本
- Harbor v1.X.X 到 v2.5.3

## 细节
攻击者可以利用该漏洞绕过认证,访问 Harbor 中的公共和私有镜像仓库。

## 影响
尽管供应商认为这是文档中明确描述的一项功能,但该问题仍可能导致未经授权的访问,从而危及仓库中的镜像资源。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
An access control issue in Harbor v1.X.X to v2.5.3 allows attackers to access public and private image repositories without authentication. NOTE: the vendor's position is that this "is clearly described in the documentation as a feature."
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Harbor 访问控制错误漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Harbor是Harbor开源的一个开源注册表。通过策略和基于角色的访问控制来保护工件,确保图像被扫描并且没有漏洞,并将图像签名为可信的。 Harbor V1.X.X至v2.5.3版本、V2.6.0版本存在安全漏洞,攻击者利用该漏洞可以在未授权的情况下访问私有和公共镜像仓库的所有信息,拉取镜像。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2022-46463 的公开POC
# POC 描述 源链接 神龙链接
1 CVE-2022-46463(Harbor 未授权) https://github.com/nu0l/CVE-2022-46463 POC详情
2 harbor unauthorized detection https://github.com/404tk/CVE-2022-46463 POC详情
3 CVE-2022-46463 harbor公开镜像全自动下载脚本 https://github.com/CodeSecurityTeam/harbor POC详情
4 An access control issue in Harbor v1.X.X to v2.5.3 allows attackers to access public and private image repositories without authentication https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2022/CVE-2022-46463.yaml POC详情
5 None https://github.com/Threekiii/Awesome-POC/blob/master/Web%E5%BA%94%E7%94%A8%E6%BC%8F%E6%B4%9E/Harbor%20%E5%85%AC%E5%BC%80%E9%95%9C%E5%83%8F%E4%BB%93%E5%BA%93%E6%9C%AA%E6%8E%88%E6%9D%83%E8%AE%BF%E9%97%AE%20CVE-2022-46463.md POC详情
三、漏洞 CVE-2022-46463 的情报信息