PT-2024-2260 · Argo Cd · Argo Cd
Nadava669
·
Publicado
2024-03-18
·
Atualizado
2025-01-09
·
CVE-2024-21662
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Argo CD anteriores à 2.8.13
Versões do Argo CD anteriores à 2.9.9
Versões do Argo CD anteriores à 2.10.4
Descrição
O problema está relacionado ao mecanismo de armazenamento em cache do Argo CD, que é uma ferramenta declarativa de entrega contínua GitOps para Kubernetes. Um invasor pode explorar o mecanismo baseado em cache do aplicativo para contornar o limite de taxa e as proteções contra ataques de força bruta. Isso pode ser feito sobrecarregando o cache, que rastreia as tentativas de login de cada usuário e é limitado a um
defaultMaxCacheSize de 1.000 entradas, bombardeando-o com tentativas de login de diferentes usuários. Isso efetivamente reinicia o limite de taxa para a conta de administrador, permitindo que invasores realizem ataques de força bruta em um ritmo acelerado.Recomendações
Para versões anteriores à 2.8.13, atualize para a versão 2.8.13 ou posterior para receber um patch.
Para versões anteriores à 2.9.9, atualize para a versão 2.9.9 ou posterior para receber um patch.
Para versões anteriores à 2.10.4, atualize para a versão 2.10.4 ou posterior para receber um patch.
Como solução alternativa temporária, considere restringir o acesso à funcionalidade de login para minimizar o risco de exploração.
Exploit
Correção
Improper Restriction of Excessive Authentication Attempts
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Argo Cd