Alexmt

**Name of the Vulnerable Software and Affected Versions** Argo CD versions prior to 2.6.15 Argo CD versions prior to 2.7.14 Argo CD versions prior to 2.8.3 **Description** Argo CD is a declarative continuous deployment for Kubernetes. Argo CD Cluster secrets might be managed declaratively using Argo CD / kubectl apply, resulting in the full secret body being stored in the `kubectl.kubernetes.io/last-applied-configuration` annotation. This exposes the annotation, which includes the full secret body, when managing cluster labels and annotations. To view cluster annotations via the Argo CD API, a user must have `clusters, get` RBAC access. In many cases, cluster secrets do not contain sensitive information, but sometimes, as in bearer-token auth, the contents might be very sensitive. **Recommendations** For versions prior to 2.6.15, upgrade to version 2.6.15 or later. For versions prior to 2.7.14, upgrade to version 2.7.14 or later. For versions prior to 2.8.3, upgrade to version 2.8.3 or later. As a temporary workaround, update/deploy cluster secret with the `server-side-apply` flag, which does not use or rely on the `kubectl.kubernetes.io/last-applied-configuration` annotation. Note that annotations for existing secrets will require manual removal.

**Nome do software vulnerável e versões afetadas** Versões do Argo CD de 0.5.0 a 2.3.1 Versões 2.0.x e anteriores do Argo CD **Descrição** O Argo CD é uma ferramenta declarativa de entrega contínua GitOps para o Kubernetes. Todas as versões não corrigidas do Argo CD a partir da 1.0.0 estão vulneráveis a um bug de controle de acesso inadequado, permitindo que um usuário mal-intencionado possa escalar seus privilégios para o nível de administrador. Para realizar explorações, um usuário autorizado do Argo CD deve ter acesso de push ao repositório git de código-fonte ou Helm de um aplicativo, ou acesso `sync` e `override` a um aplicativo. Uma vez que o usuário tenha esse acesso, diferentes níveis de exploração são possíveis, dependendo de seus outros privilégios RBAC. **Recomendações** Para as versões 2.3.1 e anteriores do Argo CD, atualize para a versão 2.3.2. Para as versões 2.2.x do Argo CD, atualize para a versão 2.2.8. Para as versões 2.1.x do Argo CD, atualize para a versão 2.1.14. Como solução alternativa temporária, considere limitar quem tem acesso de envio aos repositórios de código-fonte das aplicações ou acesso `sync` + `override` às aplicações, e limite quais repositórios estão disponíveis em projetos onde os usuários têm acesso `update` às aplicações. Restrinja o acesso `delete`, `get` ou `action` às aplicações para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Argo CD de 1.5.0 a 2.1.10 Versões do Argo CD de 2.2.0 a 2.2.5 Versões do Argo CD 2.3.0 e anteriores, excluindo a versão 2.3.0 **Descrição** Uma vulnerabilidade de traversal de caminho no Argo CD permite que um usuário mal-intencionado com acesso de leitura/gravação vaze arquivos confidenciais do servidor de repositório do Argo CD. Um usuário mal-intencionado do Argo CD que tenha recebido acesso `create` ou `update` às Aplicações pode vazar o conteúdo de qualquer arquivo de texto no servidor de repositório. Ao criar um Helm chart malicioso e usá-lo em um aplicativo, o invasor pode recuperar o conteúdo do arquivo confidencial como parte dos manifestos gerados ou em uma mensagem de erro. O invasor precisaria saber ou adivinhar a localização do arquivo alvo. Os arquivos confidenciais que podem ser vazados incluem arquivos de repositórios de código-fonte de outro aplicativo ou quaisquer segredos que tenham sido montados como arquivos no servidor de repositório. **Recomendações** Para as versões 1.5.0 a 2.1.10 do Argo CD, atualize para a versão 2.1.11 ou posterior. Para as versões 2.2.0 a 2.2.5 do Argo CD, atualize para a versão 2.2.6 ou posterior. Para versões do Argo CD anteriores à 2.3.0, atualize para a versão 2.3.0 ou posterior. Como solução alternativa temporária, considere evitar armazenar segredos no git, evitar montar segredos como arquivos no servidor de repositório, evitar descriptografar segredos em arquivos no servidor de repositório e limitar cuidadosamente quem pode `criar` ou `atualizar` aplicativos.

**Nome do software vulnerável e versões afetadas** Versões do Argo CD de 1.3.0 a 2.1.10 Versões do Argo CD de 2.2.0 a 2.2.5 Versões do Argo CD 2.3.0 e anteriores, excluindo a própria versão 2.3.0, uma vez que se trata de uma versão corrigida **Descrição** O problema está relacionado a um bug de traversal de caminho agravado por um bug de controle de acesso inadequado no Argo CD, permitindo que um usuário mal-intencionado com acesso somente leitura ao repositório vaze arquivos confidenciais do servidor de repositórios do Argo CD. Um usuário mal-intencionado do Argo CD que tenha recebido acesso `get` a um repositório contendo um Helm chart pode criar uma solicitação de API para o endpoint “/api/v1/repositories/{repo url}/appdetails” para vazar o conteúdo de arquivos fora dos limites do servidor de repositório. A carga maliciosa faria referência a um arquivo fora dos limites, e o conteúdo desse arquivo seria retornado como parte da resposta. Os arquivos confidenciais que poderiam ser vazados incluem arquivos de repositórios de código-fonte de outros aplicativos ou quaisquer segredos que tenham sido montados como arquivos no servidor de repositórios. **Recomendações** Para as versões 1.3.0 a 2.1.10 do Argo CD, atualize para a versão 2.1.11 ou posterior. Para as versões 2.2.0 a 2.2.5 do Argo CD, atualize para a versão 2.2.6 ou posterior. Para versões do Argo CD anteriores à 2.3.0, atualize para a versão 2.3.0 ou posterior. Como solução alternativa temporária, considere evitar armazenar segredos no git, evitar montar segredos como arquivos no servidor de repositório, evitar descriptografar segredos em arquivos no servidor de repositório e limitar cuidadosamente quem tem acesso `get` aos repositórios.

**Nome do software vulnerável e versões afetadas** Versões 1.0.0 e anteriores do Argo CD Versões 0.8.0 a 0.9.x do Argo CD Versões 0.5.0 a 0.7.x do Argo CD **Descrição** O problema está relacionado a um bug de controle de acesso inadequado no Argo CD, permitindo que um usuário mal-intencionado possa escalar seus privilégios para o nível de administrador. Isso pode ocorrer se o usuário tiver acesso de push ao repositório git de código-fonte ou ao repositório Helm de um aplicativo, ou acesso `sync` e `override` a um aplicativo. Os níveis de exploração variam dependendo dos outros privilégios RBAC do usuário, incluindo acesso `update`, `delete`, `get` e `action` às aplicações. Uma exploração relacionada é possível para um usuário com acesso `get` a uma aplicação, permitindo que ele acesse qualquer evento no cluster de destino da aplicação, caso conheça o nome, o UID e o namespace do objeto envolvido. **Recomendações** Para as versões 2.0.x e anteriores, atualize para uma versão mais recente, como v2.3.2, v2.2.8 ou v2.1.14, seguindo as instruções de atualização no changelog. Para usuários do gráfico argo-helm que estejam implantando a v2.3.x, atualize o gráfico para a versão 4.2.2. Para usuários do Argo CD 2.2 e 2.1, defina o valor de `global.image.tag` para o mais recente da série de lançamentos atual (v2.2.8 ou v2.1.14). Como solução alternativa temporária, considere limitar quem tem acesso de push aos repositórios de código-fonte das aplicações ou acesso `sync` e `override` às aplicações, e limitar quais repositórios estão disponíveis em projetos onde os usuários têm acesso `update` às aplicações. Limite quem tem