CVE-2022-31102

Versões 2.3.0 a 2.3.5 do Argo CD

Versões 2.4.0 a 2.4.4 do Argo CD

O problema é um bug de cross-site scripting (XSS) que poderia permitir que um invasor injetasse código JavaScript arbitrário na página “/auth/callback” no navegador da vítima. Essa vulnerabilidade afeta apenas instâncias do Argo CD com o single sign-on (SSO) habilitado. A exploração requer que o invasor tenha acesso à chave de criptografia do servidor API, um método para adicionar um cookie ao navegador da vítima e a capacidade de convencer a vítima a visitar um link malicioso “/auth/callback”. A vulnerabilidade é classificada como de gravidade baixa, pois o acesso à chave de criptografia do servidor API já concede um alto nível de acesso.

Para as versões 2.3.0 a 2.3.5 do Argo CD, atualize para a versão 2.3.6 para resolver o problema.

Para as versões 2.4.0 a 2.4.4 do Argo CD, atualize para a versão 2.4.5 para resolver o problema.

Como solução alternativa temporária, considere desativar o SSO até que um patch seja aplicado.

Restrinja o acesso à página “/auth/callback” para minimizar o risco de exploração.