【漏洞详情】

Harbor是一款开源的可信云镜像仓库，平安云监测到镜像仓库Harbor爆出未授权创建管理员漏洞（CVE-2019-16097）。攻击者通过POST方式提交恶意请求到/api/users接口，即可利用该漏洞创建管理员账户，从而接管Harbor镜像仓库，实现删除、污染镜像等攻击操作，目前PoC已公开，建议受影响的客户尽快升级。

【风险评级】

高危

【影响范围】

Harbor < 1.7.6

Harbor < 1.8.3

【修复建议】

建议受影响用户综合评估漏洞风险和业务影响，通过以下方案避免安全风险：

方案一：关闭允许自行注册功能；

方案二：目前厂家在新版本中已以修复此漏洞，建议下载并升级Harbor版本到 1.7.6 或 1.8.3，下载地址：https://github.com/goharbor/harbor/releases。

【参考链接】

https://github.com/goharbor/harbor/releases

特别提醒：修复漏洞前请进行充分测试，并务必做好数据备份和快照，防止出现意外。

平安云

2019年9月20日