PT-2021-24457 — Unknown Argo Server

PT-2021-24457 · Unknown · Argo Server

Publicado

2021-08-02

Atualizado

2021-08-02

Nenhuma

Não há classificações de severidade ou métricas disponíveis. Quando houver, atualizaremos as informações correspondentes na página.

**Nome do software vulnerável e versões afetadas:

Versões do Argo Server anteriores à 3.0.0

Descrição:

O problema afeta usuários que executam o Argo Server com --auth-mode=server, que é a configuração padrão para versões anteriores à 3.0.0. Se a interface do usuário estiver exposta à Internet, usuários remotos poderão executar código arbitrário no cluster, o que pode permitir a mineração de criptomoedas.

Recomendações:

Para versões do Argo Server anteriores à 3.0.0, não exponha a interface do usuário à Internet.
Altere a configuração para usar --auth-mode=client.
Considere atualizar para a versão 3.x ou posterior do Argo Server para usuários que utilizam uma versão 2.x mais antiga.

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Identificadores relacionados

GHSA-RC7P-GMVH-XFX2

Produtos afetados

Argo Server