Hoang-Prod

**Nome do Software Vulnerável e Versões Afetadas** Argo CD versões 3.2.0 a 3.2.10 Argo CD versões 3.3.0 a 3.3.8 **Descrição** Existe uma falha de autorização e de mascaramento de dados no endpoint '/application.ApplicationService/ServerSideDiff'. Isso permite que um invasor com acesso apenas de leitura extraia dados de Segredos (Secrets) do Kubernetes em texto simples do etcd, por meio do mecanismo de dry-run do Server-Side Apply do servidor de API do Kubernetes. O problema ocorre porque a função `ServerSideDiff()` constrói respostas utilizando estados brutos e não mascarados. Embora uma camada de defesa chamada `removeWebhookMutation()` normalmente remova campos não gerenciados pelo Argo CD para evitar vazamentos, essa proteção é ignorada quando uma Aplicação possui a anotação `argocd.argoproj.io/compare-options: IncludeMutationWebhook=true`. Nesses casos, as respostas brutas contendo valores reais de Segredos são retornadas sem mascaramento. **Recomendações** Atualize o Argo CD versões 3.2.0 a 3.2.10 para a versão 3.2.11. Atualize o Argo CD versões 3.3.0 a 3.3.8 para a versão 3.3.9. Como mitigação temporária, evite usar a anotação `argocd.argoproj.io/compare-options: IncludeMutationWebhook=true` em Aplicações para garantir que a defesa `removeWebhookMutation()` permaneça ativa.

**Nome do Software Vulnerável e Versões Afetadas** Argo CD versões 3.2.0 até 3.2.10 Argo CD versões 3.3.0 até 3.3.8 **Descrição** O endpoint 'ServerSideDiff' permite a exposição de dados de Secrets do Kubernetes em texto claro. Isso ocorre quando a variável `IncludeMutationWebhook` está definida como true em uma Aplicação. O manipulador executa um dry-run de Server-Side Apply (SSA) do Kubernetes, recupera dados brutos de Secret do etcd e os retorna na resposta da API sem mascaramento ou verificações de autorização além da autenticação básica de login. Os dados são codificados em Base64, o que não constitui criptografia. **Recomendações** Atualizar as versões 3.2.0 até 3.2.10 para a versão 3.2.11. Atualizar as versões 3.3.0 até 3.3.8 para a versão 3.3.9. Como mitigação temporária, certifique-se de que a variável `IncludeMutationWebhook` esteja definida como false ou desativada para todas as Aplicações.