漏洞标题
码头:未经授权的用户可能通过oAuth应用令牌进行身份验证
漏洞描述信息
Quay中发现了一个漏洞。如果攻击者能够获取某个应用的客户端ID,他们就可以使用OAuth令牌进行身份验证,而无需访问该应用创建的组织。这个问题仅限于身份验证,而不是授权。然而,在依赖于身份验证的端点配置中,用户可能能够对否则无权访问的应用进行身份验证。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
漏洞类别
认证机制不恰当
漏洞标题
Quay: unauthorized user may authenticate via oauth application token
漏洞描述信息
A vulnerability was found in Quay. If an attacker can obtain the client ID for an application, they can use an OAuth token to authenticate despite not having access to the organization from which the application was created. This issue is limited to authentication and not authorization. However, in configurations where endpoints rely only on authentication, a user may authenticate to applications they otherwise have no access to.
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N
漏洞类别
N/A
漏洞标题
Red Hat Quay 安全漏洞
漏洞描述信息
Red Hat Quay是美国红帽(Red Hat)公司的一款分布式容器镜像仓库,它主要用于构建、分布和部署容器。 Red Hat Quay存在安全漏洞,该漏洞源于如果攻击者能够获取应用程序的客户端 ID,就可以使用 OAuth 令牌进行身份验证。
CVSS信息
N/A
漏洞类别
其他