CVE-2024-28175

Versões do Argo CD de 1.0.0 a 2.10.2

Versões do Argo CD de 1.0.0 a 2.9.7

Versões do Argo CD de 1.0.0 a 2.8.11

Devido à filtragem inadequada dos protocolos de URL dos links especificados nas anotações link.argocd.argoproj.io no componente de resumo do aplicativo, um invasor pode realizar cross-site scripting com permissões elevadas. Isso permite que um usuário mal-intencionado insira um link javascript: na interface do usuário, que será executado com as permissões da vítima (até e incluindo as de administrador) quando clicado. A vulnerabilidade permite que um invasor execute ações arbitrárias em nome da vítima por meio da API, como criar, modificar e excluir recursos do Kubernetes.

Para as versões do Argo CD 1.0.0 a 2.10.2, atualize para a versão 2.10.3 ou posterior.

Para as versões 1.0.0 a 2.9.7 do Argo CD, atualize para a versão 2.9.8 ou posterior.

Para as versões 1.0.0 a 2.8.11 do Argo CD, atualize para a versão 2.8.12 ou posterior.

Como solução alternativa temporária, considere criar um controlador de admissão do Kubernetes para rejeitar quaisquer recursos com uma anotação que comece com link.argocd.argoproj.io ou rejeitar o recurso se o valor utilizar um protocolo de URL inadequado. Essa validação precisará ser aplicada em todos os clusters gerenciados pelo ArgoCD.