CVE-2024-21652

Versões do Argo CD anteriores à 2.8.13

Versões do Argo CD anteriores à 2.9.9

Versões do Argo CD anteriores à 2.10.4

O problema decorre de uma cadeia de vulnerabilidades, incluindo uma falha de Negação de Serviço (DoS) e uma fragilidade no armazenamento de dados na memória, permitindo que invasores contornem a proteção contra tentativas de login por força bruta do aplicativo. Isso torna o aplicativo suscetível a ataques de força bruta, comprometendo a segurança de todas as contas de usuário. Um invasor pode explorar o mecanismo baseado em cache do aplicativo para causar um estouro de cache, bombardeando-o com tentativas de login de diferentes usuários, empurrando assim para fora as tentativas malsucedidas da conta de administrador e efetivamente reiniciando o limite de taxa para essa conta. O aplicativo trava devido a uma vulnerabilidade DoS causada por modificações inseguras em matrizes em um ambiente multithread, e o aplicativo salva os dados das tentativas de login malsucedidas na memória, sem armazenamento persistente, que são perdidos quando o aplicativo trava e reinicia, reiniciando as proteções contra força bruta.

Para versões anteriores à 2.8.13, atualize para a versão 2.8.13 ou posterior para corrigir o problema.

Para versões anteriores à 2.9.9, atualize para a versão 2.9.9 ou posterior para corrigir o problema.

Para versões anteriores à 2.10.4, atualize para a versão 2.10.4 ou posterior para corrigir o problema.

Como solução alternativa temporária, considere restringir o acesso à funcionalidade de login para minimizar o risco de exploração.