PT-2024-2562 · Argo Cd · Argo Cd
Crenshaw-Dev
·
Publicado
2024-03-13
·
Atualizado
2025-06-02
·
CVE-2023-50726
CVSS v3.1
6.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:L/A:L |
Nome do software vulnerável e versões afetadas
Versões do Argo CD de 1.2.0-rc1 a 2.10.2
Versões do Argo CD de 1.2.0-rc1 a 2.9.7
Versões do Argo CD de 1.2.0-rc1 a 2.8.11
Descrição
O problema está relacionado à validação inadequada no Argo CD, uma ferramenta declarativa de entrega contínua GitOps para Kubernetes. Isso permite que usuários com privilégios de
create, mas não de override, sincronizem manifestos locais na criação de aplicativos, contornando a restrição de que os manifestos devem provir de alguma fonte git/Helm/OCI aprovada. O recurso de “sincronização local”, que permite aos desenvolvedores substituir temporariamente os manifestos de um aplicativo por manifestos definidos localmente, é afetado. Esse recurso geralmente deve ser restrito a usuários altamente confiáveis, pois permite que o usuário contorne quaisquer proteções de mesclagem no git.Recomendações
Para as versões do Argo CD 1.2.0-rc1 a 2.10.2, atualize para a versão 2.10.3.
Para as versões do Argo CD 1.2.0-rc1 a 2.9.7, atualize para a versão 2.9.8.
Para as versões do Argo CD 1.2.0-rc1 a 2.8.11, atualize para a versão 2.8.12.
Como solução alternativa temporária, considere remover o acesso RBAC
applications, create para mitigar o risco de contornamento da proteção de ramificação.Exploit
Correção
Improper Privilege Management
Incorrect Authorization
Improper Access Control
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Argo Cd