PT-2024-24340 · Argo Cd · Argo Cd
Crenshaw-Dev
·
Publicado
2024-04-15
·
Atualizado
2025-01-09
·
CVE-2024-31990
CVSS v3.1
6.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L |
Nome do software vulnerável e versões afetadas
Versões do Argo CD anteriores à 2.10.7
Versões do Argo CD anteriores à 2.9.12
Versões do Argo CD anteriores à 2.8.16
Descrição
O Argo CD é uma ferramenta declarativa de entrega contínua GitOps para o Kubernetes. O servidor de API não impõe os sourceNamespaces do projeto, o que permite que invasores usem a interface do usuário para editar recursos que deveriam ser alteráveis apenas via GitOps. Um invasor pode explorar essa vulnerabilidade criando um aplicativo em um namespace específico, alterando seu projeto e, em seguida, usando a interface do usuário para editar o recurso.
Recomendações
Para versões anteriores à 2.10.7, atualize para a versão 2.10.7 ou posterior.
Para versões anteriores à 2.9.12, atualize para a versão 2.9.12 ou posterior.
Para versões anteriores à 2.8.16, atualize para a versão 2.8.16 ou posterior.
Como solução alternativa temporária, considere restringir o acesso à interface do usuário para edição de recursos, a fim de minimizar o risco de exploração.
Exploit
Correção
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Argo Cd