JFrog

    JFrog帮助中心

    我们的新门户即将推出!
    文档+知识库





    JFrog帮助中心-新的知识体验即将到来!


    跳到元数据的末尾
    进入元数据的开始
    CVE ID

    严重程度

    发表的日期

    日期更新
    cve - 2021 - 41834

    媒介

    		 18/5/2022 18/5/2022

    描述

    在7.28.0和6.23.38版本之前,JFrog Artifactory容易受到访问控制中断的攻击,由于不正确的权限验证,低权限用户可以使用复制功能来读取和复制Artifactory部署中存在的任何工件。

    严重性:中等
    CVSSv3得分:5.3CVSS: 3.0 / AV: N /交流:H /公关:L / UI: N / S: U / C: H /我:N: N

    受影响的产品hth华体会最新官方网站

    产品

    影响版本

    打补丁的版本

    Artifactory (7. x)

    < 7.28.0

    7.28.0
    Artifactory (6. x) < 6.23.38 6.23.38

    曝光所需的配置

    此漏洞影响JFrog人工部署。

    此漏洞要求对JFrog Artifactory进行身份验证访问,并知道用户无法访问的存储库或工件的路径。


    如何修复

    云环境

    受影响的云环境已经使用固定版本进行了加固。对于云实例不需要任何操作。

    自我托管环境

    要解决这个问题,需要采取一些行动
    将您的Artifactory或Edge版本升级到以下列出的版本之一:

    产品

    版本

    链接

    Artifactory (7. x)

    7.28.0

    https://releases.jfrog.io

    Artifactory (6. x)

    6.23.38

    		 https://releases.jfrog.io

    变通办法和缓解措施

    除了升级到固定版本之外,没有任何建议的解决方法。

    缺陷类型

    cwe - 284:访问控制不当

    致谢

    米其林CERT的Maxime Escourbiac和Maxence Schmitt。

    我们随时恭候您的提问(JFrog支持团队)

    如果您对此建议有任何疑问或疑虑,请在JFrog支持门户

    版权所有©2023 JFrog Ltd。