CRITICAL🇬🇧 English

CVE-2026-4404

Hardkodowane dane uwierzytelniające w GoHarbor Harbor — nieautoryzowany dostęp do panelu

CVSS 9.4v3.1pub. 2026-03-23upd. 2026-03-24

GoHarbor Harbor w wersji 2.15.0 i wcześniejszych zawiera wbudowane na stałe domyślne dane logowania, które umożliwiają atakującemu uzyskanie dostępu do interfejsu webowego bez żadnej autoryzacji. Podatność jest krytyczna, ponieważ nie wymaga żadnych uprawnień ani interakcji użytkownika i jest dostępna zdalnie przez sieć.

Pokaż oryginał (EN)

Use of hard coded credentials in GoHarbor Harbor version 2.15.0 and below, allows attackers to use the default password and gain access to the web UI.

🤖 Analiza AI
Jak działa

Aplikacja Harbor posiada hardkodowane domyślne dane uwierzytelniające administratora (login: admin, hasło: Harbor12345), które są ustawione fabrycznie i nie są wymuszane do zmiany podczas instalacji. Atakujący może użyć tych znanych publicznie poświadczeń, aby zalogować się do panelu administracyjnego web UI. Podatność klasyfikowana jest jako CWE-798 (użycie hardkodowanych poświadczeń) oraz CWE-1393 (użycie domyślnych haseł), co oznacza, że problem tkwi w projekcie aplikacji, a nie w błędzie logiki.

Skutki

Atakujący uzyskuje pełny dostęp administracyjny do interfejsu webowego Harbor, co może prowadzić do przejęcia kontroli nad repozytorium obrazów kontenerów, wycieku poufnych danych oraz manipulacji przechowywanymi artefaktami.

Mitygacja

Należy niezwłocznie zmienić domyślne hasło administratora (Harbor12345) na silne, unikalne hasło. Zaleca się aktualizację do wersji Harbor, w której problem został rozwiązany zgodnie z pull requestem wskazanym w referencjach (github.com/goharbor/harbor/pull/22751). Dodatkowo należy zweryfikować, czy żadne środowisko produkcyjne nie działa z domyślnymi poświadczeniami oraz ograniczyć dostęp do panelu administracyjnego na poziomie sieci (firewall, VPN).

Kogo dotyczy

GoHarbor Harbor w wersji 2.15.0 i wszystkich wersjach wcześniejszych, w których domyślne hasło administratora nie zostało zmienione po instalacji.

Uwagi

Domyślne dane logowania (admin / Harbor12345) są publicznie udokumentowane w oficjalnej dokumentacji GoHarbor. Problem był zgłaszany w repozytorium GitHub (issue #1937). Podatność dotyczy wyłącznie instalacji, w których operator nie zmienił domyślnego hasła po wdrożeniu.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje
CVE-2026-4404 — Hardkodowane dane uwierzytelniające w GoHarbor Harbor — nieautoryzowany dostęp do panelu — CRITICAL 9.4 | CVEbaza.pl