CVE-2021-23163:基于基本认证的REST跨站点请求伪造

CVE ID	严重程度	发表的日期	日期更新
cve - 2021 - 23163	低	07/05/2022	07/05/2022

JFrog Artifactory之前的版本7.33.6和6.23.38对特定端点容易受到CSRF(跨站点请求伪造)的攻击。

严重程度:低

CVSSv3.1得分:3.1CVSS: 3.0 / AV: N /交流:H /公关:N / UI: R / S: U / C: N /我:L /答:N

产品	影响版本	打补丁的版本
Artifactory (7. x)	< 7.33.6	7.33.6
Artifactory (6. x)	< 6.23.38	6.23.38

此漏洞影响JFrog Artifactory部署。

这个问题要求用户在www-authenticate协商中输入他们的凭证，或者已经使用URL中的基本凭证访问了一些Artifactory REST api。(用户:pass@artifactory-domain)。

受影响的云环境已经用一个固定版本进行了强化。云实例不需要任何操作。

要解决这个问题，必须采取行动．

升级您的Artifactory或Edge版本到以下列出的版本之一:

产品	版本	链接
Artifactory (7. x)	7.33.6及以上	https://releases.jfrog.io
Artifactory (6. x)	6.23.38及以上	https://releases.jfrog.io

对于这个问题，除了升级到固定版本之外，没有任何建议的解决方案。

cwe - 352:跨站点请求伪造(CSRF)

这个问题是由米其林CERT的Maxime Escourbiac和Maxence Schmitt发现并报告的。

如果您对此建议有任何疑问或担忧，请在以下网站提出支持请求JFrog支持门户．