CVE-2022-24768

Versões do Argo CD de 0.5.0 a 2.3.1

Versões 2.0.x e anteriores do Argo CD

O Argo CD é uma ferramenta declarativa de entrega contínua GitOps para o Kubernetes. Todas as versões não corrigidas do Argo CD a partir da 1.0.0 estão vulneráveis a um bug de controle de acesso inadequado, permitindo que um usuário mal-intencionado possa escalar seus privilégios para o nível de administrador. Para realizar explorações, um usuário autorizado do Argo CD deve ter acesso de push ao repositório git de código-fonte ou Helm de um aplicativo, ou acesso sync e override a um aplicativo. Uma vez que o usuário tenha esse acesso, diferentes níveis de exploração são possíveis, dependendo de seus outros privilégios RBAC.

Para as versões 2.3.1 e anteriores do Argo CD, atualize para a versão 2.3.2.

Para as versões 2.2.x do Argo CD, atualize para a versão 2.2.8.

Para as versões 2.1.x do Argo CD, atualize para a versão 2.1.14.

Como solução alternativa temporária, considere limitar quem tem acesso de envio aos repositórios de código-fonte das aplicações ou acesso sync + override às aplicações, e limite quais repositórios estão disponíveis em projetos onde os usuários têm acesso update às aplicações.

Restrinja o acesso delete, get ou action às aplicações para minimizar o risco de exploração.