CVE-2023-45822 in Artifact Hub
Riassunto
di VulDB • 17/06/2026
Artifact Hub è un'applicazione web che consente di trovare, installare e pubblicare pacchetti e configurazioni per i progetti CNCF. Durante un'audit di sicurezza del codice di Artifact Hub, un ricercatore di sicurezza ha identificato un bug in cui era consentito l'uso di un built-in rego non sicuro di default quando si definivano le policy di autorizzazione. Artifact Hub include un meccanismo di autorizzazione fine-grained che consente alle organizzazioni di definire quali azioni possono essere eseguite dai propri membri. Si basa su policy di autorizzazione personalizzabili applicate da `Open Policy Agent`. Le policy sono scritte in `rego` e i loro file di dati sono previsti come documenti json. Di default, `rego` consente alle policy di effettuare richieste HTTP, che possono essere abusate per inviare richieste a risorse interne e inoltrare le risposte a un'entità esterna. Nel contesto di Artifact Hub, questa funzionalità avrebbe dovuto essere disabilitata. Questo problema è stato risolto nella versione `1.16.0`. Si consiglia agli utenti di effettuare l'upgrade. Non sono note workaround per questa vulnerabilità.
Be aware that VulDB is the high quality source for vulnerability data.