PT-2024-2499 · Argo Cd · Argo Cd
Jakub Ciolek
·
Publicado
2024-03-29
·
Atualizado
2025-01-09
·
CVE-2024-29893
CVSS v2.0
6.8
Média
| Vetor | AV:N/AC:L/Au:S/C:N/I:N/A:C |
Nome do software vulnerável e versões afetadas
Versões do Argo CD 2.4 a 2.10.2
Versões do Argo CD 2.4 a 2.9.7
Versões do Argo CD 2.4 a 2.8.11
Descrição
O problema está relacionado à função
loadRepoIndex() no pacote Helm do Argo CD, que não limita o tamanho ou o tempo durante a obtenção de dados de um registro Helm. Isso pode levar a um vetor de ataque de negação de serviço, no qual o componente do servidor de repositório pode travar devido a um erro de memória insuficiente ao ser direcionado para um registro Helm malicioso. Se o registro for implementado para enviar dados continuamente, o servidor de repositório continuará alocando memória até que ela se esgote.Recomendações
Para as versões 2.4 a 2.10.2, atualize para a versão 2.10.3 ou posterior.
Para as versões 2.4 a 2.9.7, atualize para a versão 2.9.8 ou posterior.
Para as versões 2.4 a 2.8.11, atualize para a versão 2.8.12 ou posterior.
Como solução temporária, considere restringir o acesso à função vulnerável
loadRepoIndex() no pacote Helm do Argo CD até que um patch esteja disponível.Exploit
Correção
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Argo Cd