CVE-2024-22424

Versões do Argo CD anteriores à 2.10-rc2, 2.9.4, 2.8.8 e 2.7.15

O problema está relacionado a um ataque de falsificação de solicitação entre servidores (CSRF). Um invasor pode induzir um usuário autenticado do Argo CD a carregar uma página da web que contenha código para chamar pontos de extremidade da API do Argo CD em nome da vítima. Isso pode ser feito enviando um link para uma página que pareça inofensiva, mas que, em segundo plano, chame um ponto de extremidade da API do Argo CD para criar um aplicativo que execute código malicioso. O ataque é possível quando o invasor tem a capacidade de escrever HTML em uma página no mesmo domínio pai do Argo CD. O cabeçalho Content-Type não é validado corretamente, permitindo que um invasor contorne a verificação CORS do navegador definindo o tipo de conteúdo como algo considerado “não confidencial”, como text/plain. O navegador não enviaria a solicitação de pré-verificação, e o Argo CD aceitaria o conteúdo e executaria a ação solicitada.

Para resolver o problema, atualize para uma das seguintes versões: 2.10-rc2, 2.9.4, 2.8.8 ou 2.7.15. Observe que o patch contém uma alteração significativa na API, e a API do Argo CD não aceitará mais solicitações que não sejam GET e que não especifiquem application/json como seu Content-Type. A lista de tipos de conteúdo aceitos é configurável, mas não é recomendável desativar completamente a verificação do tipo de conteúdo. Como solução alternativa temporária, considere restringir o acesso aos pontos de extremidade da API do Argo CD para minimizar o risco de exploração. Evite