GoHarbor Harbor w wersji 2.15.0 i wcześniejszych zawiera wbudowane na stałe domyślne dane logowania, które umożliwiają atakującemu uzyskanie dostępu do interfejsu webowego bez żadnej autoryzacji. Podatność jest krytyczna, ponieważ nie wymaga żadnych uprawnień ani interakcji użytkownika i jest dostępna zdalnie przez sieć.
▸ Pokaż oryginał (EN)
Use of hard coded credentials in GoHarbor Harbor version 2.15.0 and below, allows attackers to use the default password and gain access to the web UI.
Aplikacja Harbor posiada hardkodowane domyślne dane uwierzytelniające administratora (login: admin, hasło: Harbor12345), które są ustawione fabrycznie i nie są wymuszane do zmiany podczas instalacji. Atakujący może użyć tych znanych publicznie poświadczeń, aby zalogować się do panelu administracyjnego web UI. Podatność klasyfikowana jest jako CWE-798 (użycie hardkodowanych poświadczeń) oraz CWE-1393 (użycie domyślnych haseł), co oznacza, że problem tkwi w projekcie aplikacji, a nie w błędzie logiki.
Atakujący uzyskuje pełny dostęp administracyjny do interfejsu webowego Harbor, co może prowadzić do przejęcia kontroli nad repozytorium obrazów kontenerów, wycieku poufnych danych oraz manipulacji przechowywanymi artefaktami.
Należy niezwłocznie zmienić domyślne hasło administratora (Harbor12345) na silne, unikalne hasło. Zaleca się aktualizację do wersji Harbor, w której problem został rozwiązany zgodnie z pull requestem wskazanym w referencjach (github.com/goharbor/harbor/pull/22751). Dodatkowo należy zweryfikować, czy żadne środowisko produkcyjne nie działa z domyślnymi poświadczeniami oraz ograniczyć dostęp do panelu administracyjnego na poziomie sieci (firewall, VPN).
GoHarbor Harbor w wersji 2.15.0 i wszystkich wersjach wcześniejszych, w których domyślne hasło administratora nie zostało zmienione po instalacji.
Domyślne dane logowania (admin / Harbor12345) są publicznie udokumentowane w oficjalnej dokumentacji GoHarbor. Problem był zgłaszany w repozytorium GitHub (issue #1937). Podatność dotyczy wyłącznie instalacji, w których operator nie zmienił domyślnego hasła po wdrożeniu.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L