CVE-2022-31035

Versões do Argo CD de 1.0.0 a 2.4.0

Versões do Argo CD de 2.1.0 a 2.1.15

Versões do Argo CD de 2.2.0 a 2.2.9

Versões do Argo CD de 2.3.0 a 2.3.4

O Argo CD é uma ferramenta declarativa de entrega contínua GitOps para o Kubernetes. O problema está relacionado a um bug de cross-site scripting (XSS), permitindo que um usuário mal-intencionado insira um link javascript: na interface do usuário. Quando clicado por um usuário vítima, o script será executado com as permissões da vítima, incluindo permissões de administrador. Isso poderia permitir a criação, modificação e exclusão de recursos do Kubernetes.

Para versões anteriores à 2.1.16, atualize para a versão 2.1.16 ou posterior.

Para versões anteriores à 2.2.10, atualize para a versão 2.2.10 ou posterior.

Para versões anteriores à 2.3.5, atualize para a versão 2.3.5 ou posterior.

Para versões anteriores à 2.4.1, atualize para a versão 2.4.1 ou posterior.

Como solução alternativa temporária, considere evitar clicar em links externos apresentados na interface do usuário e limitar cuidadosamente quem tem permissões para editar manifestos de recursos.