【高危漏洞】Artifact Hub任意文件读取漏洞

漏洞出现时间：2023年10月19日

影响等级：高危

影响版本：

< 1.16.0

漏洞说明：

影响在对Artifact Hub的代码库进行安全审计期间，[Ofsec]的一名安全研究员(https://www.offsec.com/)发现了一个错误，通过在加载到Artifact Hub的某些类型的存储库中使用符号链接，可以读取内部文件。ArtifactHub对来自各种来源的内容进行索引，包括git存储库。在处理基于git的存储库时，Artifact Hub会克隆存储库，并根据工件类型从中读取一些文件。在这个过程中，在某些情况下，没有进行验证来检查文件是否是符号链接。这使得读取系统中的任意文件成为可能，从而可能泄露敏感信息。

修复方式：

• 厂商已发布了漏洞修复程序，请及时关注更新：https://artifacthub.io/packages/helm/artifact-hub/artifact-hub?modal=changelog&version=1.16.0

相关链接：

• https://github.com/artifacthub/hub/security/advisories/GHSA-hmq4-c2r4-5q8h
• https://artifacthub.io/packages/helm/artifact-hub/artifact-hub?modal=changelog&version=1.16.0
• https://nvd.nist.gov/vuln/detail/CVE-2023-45823
• https://github.com/advisories/GHSA-hmq4-c2r4-5q8h