阿里云漏洞库
高危漏洞
CVE 漏洞库
非CVE漏洞库
安全社区
搜索
NVD
应用程序
CVE-2023-1802
Docker Desktop 存在CR 凭证泄漏漏洞
CVE编号
CVE-2023-1802
利用情况
暂无
补丁情况
N/A
披露时间
2023-04-06
漏洞描述
Docker Desktop 是一个提供图形化界面管理容器/镜像的软件,CR (Container Registry)凭证用于对 Docker 镜像仓库进行身份验证。
Docker Desktop 4.17.x 版本中当启用 Access experimental features 选项时,私有容器注册表会定期向 /artifactory/api/system/ping 端点发送 HTTP GET 请求,由于请求未使用加密协议,可登录私有容器注册表的攻击者可通过捕捉网络流量获取请求头中的 CR 凭证。
解决建议
"升级Docker Desktop到 4.18.0 或更高版本"
参考链接
https://docs.docker.com/desktop/release-notes/#4180
https://github.com/docker/for-win/issues/13344
受影响软件情况
#
类型
厂商
产品
版本
影响面
1
运行在以下环境
应用
docker
desktop
4.17.0
-
运行在以下环境
应用
docker
desktop
4.17.1
-
CVSS3评分
7.5
攻击路径
网络
攻击复杂度
低
权限要求
无
影响范围
未更改
用户交互
无
可用性
无
保密性
高
完整性
无
CWE-ID
漏洞类型
CWE-319
敏感数据的明文传输
阿里云安全产品覆盖情况
云安全中心
WAF
云防火墙
RASP
Exp相关链接
×