PT-2021-15451 · Argo Cd · Argo Cd
Jannfis
·
Publicado
2021-03-03
·
Atualizado
2024-08-21
·
CVE-2021-23347
CVSS v3.1
4.8
Média
| Vetor | AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do argo-cd anteriores à 1.7.13
Versões do argo-cd de 1.8.0 a 1.8.6
Descrição
O problema está relacionado a Cross-site Scripting (XSS), em que um provedor de SSO malicioso conectado ao Argo CD poderia enviar de volta ao usuário uma mensagem de erro maliciosa contendo JavaScript. Isso poderia resultar na execução de código JavaScript arbitrário no cliente. Acredita-se que a exploração dessa vulnerabilidade seja possível apenas quando o Argo CD estiver conectado a um provedor de SSO comprometido ou malicioso.
Recomendações
Para versões do argo-cd anteriores à 1.7.13, atualize para a versão 1.7.14 ou posterior.
Para versões do argo-cd 1.8.0 a 1.8.6, atualize para a versão 1.8.7 ou posterior.
Como solução alternativa temporária, considere não usar SSO com a CLI quando não confiar no seu provedor de SSO.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Argo Cd