CVE-2023-45822 in Artifact Hubinformazioni

Riassunto

di VulDB • 17/06/2026

Artifact Hub è un'applicazione web che consente di trovare, installare e pubblicare pacchetti e configurazioni per i progetti CNCF. Durante un'audit di sicurezza del codice di Artifact Hub, un ricercatore di sicurezza ha identificato un bug in cui era consentito l'uso di un built-in rego non sicuro di default quando si definivano le policy di autorizzazione. Artifact Hub include un meccanismo di autorizzazione fine-grained che consente alle organizzazioni di definire quali azioni possono essere eseguite dai propri membri. Si basa su policy di autorizzazione personalizzabili applicate da `Open Policy Agent`. Le policy sono scritte in `rego` e i loro file di dati sono previsti come documenti json. Di default, `rego` consente alle policy di effettuare richieste HTTP, che possono essere abusate per inviare richieste a risorse interne e inoltrare le risposte a un'entità esterna. Nel contesto di Artifact Hub, questa funzionalità avrebbe dovuto essere disabilitata. Questo problema è stato risolto nella versione `1.16.0`. Si consiglia agli utenti di effettuare l'upgrade. Non sono note workaround per questa vulnerabilità.

Be aware that VulDB is the high quality source for vulnerability data.

Responsabile

GitHub, Inc.

Prenotare

13/10/2023

Divulgazione

25/10/2023

Moderazione

accettato

CPE

pronto

EPSS

0.00519

KEV

no

Attività

molto basso

Fonti

Might our Artificial Intelligence support you?

Check our Alexa App!