Mark Pim

**Nome do software vulnerável e versões afetadas** Versões do Argo CD de 1.4.0 a 2.1.14 Versões do Argo CD de 2.2.0 a 2.2.8 Versões do Argo CD de 2.3.0 a 2.3.3 **Descrição** Foi descoberta uma vulnerabilidade crítica no Argo CD que permite que usuários não autenticados se façam passar por qualquer usuário ou função do Argo CD, incluindo o usuário `admin`, enviando um JSON Web Token (JWT) especialmente criado junto com a solicitação. Isso pode ser explorado se o acesso anônimo à instância do Argo CD estiver habilitado. Em uma instalação padrão, o acesso anônimo está desabilitado. A vulnerabilidade pode ser explorada para escalar privilégios, permitindo que um invasor obtenha privilégios de administrador do cluster, crie, manipule e exclua recursos, além de extrair dados por meio da implantação de cargas de trabalho maliciosas com privilégios elevados. **Recomendações** Para as versões 1.4.0 a 2.1.14 do Argo CD, atualize para a versão 2.1.15 ou posterior. Para as versões 2.2.0 a 2.2.8 do Argo CD, atualize para a versão 2.2.9 ou posterior. Para as versões 2.3.0 a 2.3.3 do Argo CD, atualize para a versão 2.3.4 ou posterior. Como solução alternativa temporária, considere desativar o acesso anônimo à instância do Argo CD aplicando um patch no ConfigMap `argocd-cm` para definir `users.anonymous.enabled` como `“false”` ou removendo esse campo.