Quay: incorrect privilege assignment 漏洞信息(CVE-2025-4374)

一、漏洞 CVE-2025-4374 基础信息

AIGC 神龙大模型
美国国家漏洞数据库 NVD

漏洞信息

# Quay：权限分配错误

## 漏洞概述
Quay 中存在一个漏洞，当组织充当代理缓存时，如果用户或机器人拉取尚未镜像的镜像，他们将被授予新建仓库的 "Admin" 权限。

## 影响版本
未指定具体影响版本

## 漏洞细节
当组织作为代理缓存服务时，如果用户或机器人请求拉取一个尚未被镜像的镜像，Quay 会自动创建一个新的仓库并为其分配 "Admin" 权限，这导致不具备管理员权限的用户意外获得了管理权限。

## 影响
该漏洞允许未经授权的用户获得新建仓库的“Admin”权限，可能会导致数据泄露、篡改或其他安全问题。

备注

尽管我们采用了先进的大模型技术，但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确，但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利！

漏洞标题

Quay: incorrect privilege assignment

来源：美国国家漏洞数据库 NVD

漏洞描述信息

A flaw was found in Quay. When an organization acts as a proxy cache, and a user or robot pulls an image that hasn't been mirrored yet, they are granted "Admin" permissions on the newly created repository.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N

来源：美国国家漏洞数据库 NVD

漏洞类别

特权授予不正确

来源：美国国家漏洞数据库 NVD

二、漏洞 CVE-2025-4374 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2025-4374 的情报信息

标题： CVE-2025-4374 - Red Hat Customer Portal -- 🔗来源链接

标签： vdb-entry x_refsource_REDHAT
标题： 2364267 – (CVE-2025-4374) CVE-2025-4374 quay: Incorrect Privilege Assignment -- 🔗来源链接

标签： issue-tracking x_refsource_REDHAT
https://nvd.nist.gov/vuln/detail/CVE-2025-4374

一、 漏洞 CVE-2025-4374 基础信息

漏洞信息

备注

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2025-4374 的公开POC

三、漏洞 CVE-2025-4374 的情报信息

一、漏洞 CVE-2025-4374 基础信息