CVE-2021-41834: Artifactory对复制工件的访问控制中断

CVE ID	严重程度	发表的日期	日期更新
cve - 2021 - 41834	媒介	18/5/2022	18/5/2022

版本7.28.0和6.23.38之前的JFrog Artifactory容易受到访问控制中断的影响，由于权限验证不当，低权限用户可以使用复制功能来读取和复制Artifactory部署中存在的任何工件。

严重性:中等
CVSSv3得分:5.3CVSS: 3.0 / AV: N /交流:H /公关:L / UI: N / S: U / C: H /我:N: N

产品	影响版本	打补丁的版本
Artifactory (7. x)	< 7.28.0	7.28.0
Artifactory (6. x)	< 6.23.38	6.23.38

此漏洞影响JFrog Artifactory部署。

此漏洞需要通过身份验证访问JFrog Artifactory，并知道用户无法访问的存储库或工件的路径。

受影响的云环境已经用一个固定版本进行了强化。云实例不需要任何操作。

要解决这个问题，必须采取行动．

升级您的Artifactory或Edge版本到以下列出的版本之一:

产品	版本	链接
Artifactory (7. x)	7.28.0	https://releases.jfrog.io
Artifactory (6. x)	6.23.38	https://releases.jfrog.io

对于这个问题，除了升级到固定版本之外，没有任何建议的解决方案。

cwe - 284:不当的访问控制

米其林CERT的Maxime Escourbiac和Maxence Schmitt。

如果您对此建议有任何疑问或担忧，请在以下网站提出支持请求JFrog支持门户．