CVE-2021-45074:删除OAuth令牌的人工破坏访问控制

CVE ID	严重程度	发表的日期	日期更新
cve - 2021 - 45074	媒介	03/02/2022	03/02/2022

JFrog Artifactory在7.29.3和6.23.38之前，很容易受到破坏访问控制，低权限用户可以删除其他已知用户OAuth令牌，这将强制在活动会话或下一个UI会话上重新身份验证。

CVSSv3.1基础分数：4.３AV: N /交流:L /公关:L / UI: N / S: U / C: N /我:N / A: L

产品	影响版本	打补丁的版本
Artifactory (7. x)	< 7.29.3	7.29.3
Artifactory (6. x)	< 6.23.38	6.23.38

这个漏洞会影响JFrog Artifactory的部署。

该漏洞需要对JFrog Artifactory进行身份验证访问，并猜测另一个用户的用户名，以及OAuth令牌。

受影响的云环境已经通过固定版本进行了加固。云实例无需操作。

要解决这个问题，需要采取行动．

升级你的工件版本到下面列出的一个版本:

产品	版本	链接
Artifactory (7. x)	7.29.3	https://releases.jfrog.io
Artifactory (6. x)	6.23.38	https://releases.jfrog.io

除了升级到固定版本之外，没有任何建议的解决方法。

cwe - 284:访问控制不当

maximme Escourbiac和Maxence Schmitt在米其林CERT。

如果您对本建议有任何疑问或担忧，请在以下网站提出支持请求JFrog支持门户．