CVE-2021-3860: Artifactory低特权盲SQL注入

CVE ID	严重程度	发表的日期	日期更新
cve - 2021 - 3860	高	12/15/2021	12/15/2021

7.25.4之前的JFrog Artifactory(仅限企业+订阅)，由于执行SQL查询时不完全验证，容易受到低特权身份验证用户的盲SQL注入的攻击。

CVSSv3分数:8.8 CVSS: 3.0 / AV: N /交流:L /公关:L / UI: N / S: U / C: H /我:H: H

产品	影响版本	打补丁的版本
Artifactory (7. x)	< 7.25.4	7.24.7、7.23.8 7.21.14、7.19.12 7.18.11,7.17.14,7.12.10 7.11.8
Artifactory (6. x)	< 6.23.30	6.23.x的最新版本

此漏洞仅影响使用Enterprise+订阅的JFrog Artifactory和JFrog边缘部署。

此问题要求攻击者具有对JFrog Artifactory的身份验证访问权。

如果您的环境允许匿名访问，那么暴露于此漏洞的可能性就会更高。

受影响的云环境已经用固定版本进行了强化。对于云实例，不需要任何操作。

要修复此问题，需要执行相应的操作．

将您的Artifactory或Edge版本升级到下面列出的版本之一:

您可以通过遵循最佳实践并禁用对JFrog平台的匿名访问来减轻此问题的影响。请查看最佳实践禁用匿名访问在JFrog知识库中。

从版本6.12.0和7.0.0开始的新Artifactory和Edge安装默认禁用匿名访问。

JFrog不知道公开可用的漏洞和恶意利用企图。

cwe - 89: SQL命令中使用的特殊元素的不恰当中立(“SQL注入”)。

这个问题是由JFrog客户发现并报告的。

如果您对此建议有任何疑问或顾虑，请在JFrog支持门户．