CVE-2022-46463复现文章

本文来自博客YX'BLOG http://535yx.cn

Harbor
是为企业用户设计的容器镜像仓库开源项目,包括了权限管理(RBAC)、LDAP、审计、安全漏洞扫描、镜像验真、管理界面、自我注册、HA等企业必需的功能,同时针对中国用户的特点,设计镜像复制和中文支持等功能。

0x00前言

今天看到吐司群里在问CVE-2022-46463(Harbor v1.XX 到 v2.5.3 中的一个访问控制问题允许攻击者无需身份验证即可访问公共和私有图像存储库。)的细节,遂去github查询了下cve细节,然后根据作者的截图还原了该CVE。(PS:这兄弟的运气是的真好)
92751-2ldb4amit86.png

0x00复现过程

在搜索框输入首字母查询
29891-iwbk9c6yhsl.png

29541-uf4oc77xom8.png

右键复制仓库地址,然后用新标签打开(注意,这里不能直接点击,否则会返回到登入界面)
11142-gv6hlzlnsh6.png

artifacts可以直接点击进去访问
52197-qhz8mndo0e9.png

posted @ 2023-01-16 23:50  XY丶·  阅读(7723)  评论(0)    收藏  举报