PT-2022-3259 · Argo Cd · Argo Cd
Adam Korczynski
+4
·
Publicado
2022-06-15
·
Atualizado
2024-08-21
·
CVE-2022-31034
CVSS v2.0
10
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do Argo CD de 0.11.0 a 2.4.0
Versões do Argo CD de 2.1.0 a 2.1.15
Versões do Argo CD de 2.2.0 a 2.2.9
Versões do Argo CD de 2.3.0 a 2.3.4
Descrição
O problema está relacionado ao uso de valores aleatórios insuficientes nos parâmetros dos fluxos de login OAuth2/OIDC, possibilitando que um invasor obtenha acesso de administrador ao Argo CD. Os ataques são difíceis de executar, mas podem ter um alto impacto. As vulnerabilidades se devem ao uso de uma semente relativamente previsível em um gerador de números pseudoaleatórios não criptograficamente seguro e, em alguns casos, o uso de um valor muito curto tornou a entropia ainda menos suficiente. Os parâmetros vulneráveis incluem o parâmetro
state, o parâmetro code verifier e o parâmetro nonce.Recomendações
Para as versões 0.11.0 a 2.1.15 do Argo CD, atualize para a versão 2.1.16 ou posterior.
Para as versões 2.2.0 a 2.2.9 do Argo CD, atualize para a versão 2.2.10 ou posterior.
Para as versões 2.3.0 a 2.3.4 do Argo CD, atualize para a versão 2.3.5 ou posterior.
Para as versões 2.4.0 e anteriores do Argo CD, atualize para a versão 2.4.1 ou posterior.
Como solução temporária, considere restringir o acesso aos fluxos de login OAuth2/OIDC até que um patch seja aplicado.
Exploit
Correção
Use of Insufficiently Random Values
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Argo Cd