JFrog


    云客户?
    免费开始>
    在MyJFrog中升级>
    云的新功能>





    使用旧版本?JFrog Artifactory 6.x|JFrog x射线2.x|JFrog任务控制中心|JFrog发行1.x|


    跳到元数据的末尾
    转到元数据的开始
    CVE ID

    严重程度

    发表的日期

    日期更新
    cve - 2021 - 23163

    		07/05/2022 07/05/2022

    描述

    版本之前的JFrog人工7.33.6和6.23.38,是脆弱的CSRF(跨站点请求伪造)针对特定的端点。

    严重程度:低

    CVSSv3.1得分:3.1CVSS: 3.0 / AV: N /交流:H /公关:N / UI: R / S: U / C: N /我:L /答:N

    受影响的产品hth华体会最新官方网站

    产品

    影响版本

    打补丁的版本

    Artifactory (7. x)

    < 7.33.6

    7.33.6
    Artifactory (6. x)

    < 6.23.38

    		 6.23.38

    曝光所需的配置

    此漏洞影响JFrog人工部署。

    这个问题要求用户在www-authenticate协商中输入他们的凭据,或者使用URL中的基本凭据访问了一些Artifactory REST api。(用户:pass@artifactory-domain)。


    如何修复

    云环境

    受影响的云环境已经使用固定版本进行了加固。对于云实例不需要任何操作。

    自我托管环境

    要解决这个问题,需要采取一些行动
    将您的Artifactory或Edge版本升级到以下列出的版本之一:

    产品

    版本

    链接

    Artifactory (7. x)

    7.33.6及以上

    https://releases.jfrog.io
    Artifactory (6. x)

    6.23.38及以上

    https://releases.jfrog.io

    变通方法和缓解措施

    除了升级到固定版本之外,没有任何建议的解决方法。

    缺陷类型

    cwe - 352跨站点请求伪造(CSRF)

    致谢

    这个问题是由米其林CERT的Maxime Escourbiac和Maxence Schmitt发现并报告的。

    我们随时恭候您的提问(JFrog支持团队)

    如果您对此建议有任何疑问或疑虑,请在JFrog支持门户

    版权所有©2023 JFrog Ltd.