1. 簡介
Harbor是一個用於存儲和分發Docker鏡像的企業級Registry服務器,通過添加一些企業必需的功能特性,例如安全、標識和管理等,擴展了開源Docker Distribution。
作為一個企業級私有Registry服務器,Harbor提供了更好的性能和安全。提升用戶使用Registry構建和運行環境傳輸鏡像的效率。Harbor支持安裝在多個Registry節點的鏡像資源復制,鏡像全部保存在私有Registry中, 確保數據和知識產權在公司內部網絡中管控。另外,Harbor也提供了高級的安全特性,諸如用戶管理,訪問控制和活動審計等。
2.影響范圍
Harbor: 1.7.0-1.8.2
3.復現
語法搜索
title="Harbor" && country=CN
注冊,然后抓包
改包,在最后數據包加上:"has_admin_role":true
發一下數據包,看一下狀態是201,成功
賬號已經存在
登陸驗證
4.修復方案
升級Harbor版本到 1.7.6 和 1.8.3
5.參考
https://bbs.secgeeker.net/forum.php?mod=viewthread&tid=1374
https://www.freebuf.com/vuls/214767.html