1. 簡介
Harbor是一個用于存儲和分發Docker鏡像的企業級Registry伺服器,通過添加一些企業必需的功能特性,例如安全、辨別和管理等,擴充了開源Docker Distribution。
2.影響範圍
Harbor: 1.7.0-1.8.2
3.複現
a.文法搜尋
我就不寫了,自己百度
b.注冊,然後抓包
c.改包,在最後資料包加上:“has_admin_role”:true
d.發一下資料包,看一下狀态是201,成功
e.賬号已經存在
f.登陸驗證
4.修複方案
更新Harbor版本到 1.7.6 和 1.8.3
5.參考
https://bbs.secgeeker.net/forum.php?mod=viewthread&tid=1374
https://www.freebuf.com/vuls/214767.html
https://www.cnblogs.com/lanyincao/p/11571059.html