发布日期：2019-12-03
更新日期：2019-12-06

受影响系统：

Harbor Harbor 1.9.1
Harbor Harbor 1.9.0
Harbor Harbor 1.8.*
Harbor Harbor 1.7.*

不受影响系统：

Harbor Harbor 1.9.3
Harbor Harbor 1.8.6

描述：

---

CVE(CAN) ID: CVE-2019-3990

Harbor是一个开源镜像管理项目，通过添加一些用户常用的功能特性，例如安全、标识和管理等，扩展了开源Docker Distribution。

Harbor在实现中存在用户枚举漏洞，该漏洞存在于 “/users” api 中，这个功能的使用本应限于管理员，但该限制可以被绕过，非管理员用户（例如通过自我注册创建的用户）可以通过向 /api/users/search发送 GET请求来列出所有用户名和用户ID、确认与用户名关联的电子邮件地址等。

<*来源：Nick Manfredi
  *>

建议：

---

厂商补丁：

Harbor
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://github.com/goharbor/harbor/security/advisories/GHSA-gcqm-v682-ccw6

https://github.com/goharbor/harbor/security/advisories/GHSA-3868-7c5x-4827

https://github.com/goharbor/harbor/security/advisories/GHSA-qcfv-8v29-469w

https://github.com/goharbor/harbor/security/advisories/GHSA-rh89-vvrg-fg64

https://github.com/goharbor/harbor/security/advisories/GHSA-6qj9-33j4-rvhg

下载链接：

https://github.com/goharbor/harbor/releases

浏览次数：1632
严重程度：0（网友投票）