PT-2022-16974 · Argo Cd · Argo Cd
Naufal Septiadi
·
Publicado
2022-05-20
·
Atualizado
2024-08-21
·
CVE-2022-24905
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do Argo CD anteriores à 2.3.4
Versões do Argo CD anteriores à 2.2.9
Versões do Argo CD anteriores à 2.1.15
Descrição
Foi identificada uma vulnerabilidade no Argo CD que permite que um invasor falsifique mensagens de erro na tela de login quando o login único (SSO) está habilitado. Para explorar essa vulnerabilidade, um invasor teria que induzir a vítima a visitar uma URL especialmente criada que contém a mensagem a ser exibida. Conforme concluído pela pesquisa da equipe do Argo CD, não é possível especificar nenhum conteúdo ativo (por exemplo, Javascript) ou outros fragmentos de HTML (por exemplo, links clicáveis) na mensagem falsificada.
Recomendações
Atualize para a versão 2.3.4 ou posterior do Argo CD
Atualize para a versão 2.2.9 ou posterior do Argo CD
Atualize para a versão 2.1.15 ou posterior do Argo CD
Como solução temporária, considere restringir o acesso à tela de login quando o SSO estiver habilitado até que um patch seja aplicado.
Exploit
Correção
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Argo Cd