CVE-2022-31105

Versões do Argo CD de 0.4.0 a 2.2.10

Versões do Argo CD de 2.3.0 a 2.3.5

Versões do Argo CD de 2.4.0 a 2.4.4

O problema está relacionado a um bug de validação incorreta de certificados no Argo CD, o que poderia fazer com que ele confiasse em um provedor malicioso do OpenID Connect (OIDC). Esse bug afeta as conexões com provedores OIDC e pode ser explorado por um invasor para realizar ataques de spoofing. A vulnerabilidade está relacionada à omissão da verificação de certificados durante a comunicação com o provedor OIDC, o que expõe o Argo CD a vários riscos, como um ataque man-in-the-middle.

Para as versões 0.4.0 a 2.2.10 do Argo CD, atualize para a versão 2.2.11 ou posterior.

Para as versões 2.3.0 a 2.3.5 do Argo CD, atualize para a versão 2.3.6 ou posterior.

Para as versões 2.4.0 a 2.4.4 do Argo CD, atualize para a versão 2.4.5 ou posterior.

Como solução alternativa temporária para usuários de um provedor OIDC externo, considere definir o campo oidc.config.rootCA no ConfigMap argocd-cm para forçar a validação do certificado quando o servidor de API processar fluxos de login.