CVE-2024-31989

Nome do software vulnerável e versões afetadas:

Versões do Argo CD anteriores à 2.8.19

Versões do Argo CD anteriores à 2.9.15

Versões do Argo CD anteriores à 2.10.10

Descrição:

A vulnerabilidade diz respeito a um pod sem privilégios em um namespace diferente no mesmo cluster ser capaz de se conectar ao servidor Redis na porta 6379, o que pode levar à escalada de privilégios ou ao vazamento de informações. Isso ocorre porque o servidor Redis não é protegido por senha por padrão e devido à falta de controles de acesso rigorosos. Um invasor poderia modificar a chave “mfst” para fazer com que o ArgoCD execute qualquer implantação, ou editar a chave “app|resources-tree” para carregar qualquer recurso do Kubernetes na seção de manifesto ativo da pré-visualização do aplicativo, resultando em vazamento de informações.

Recomendações:

Para versões anteriores à 2.8.19, atualize para a versão 2.8.19 ou posterior.

Para versões anteriores à 2.9.15, atualize para a versão 2.9.15 ou posterior.

Para versões anteriores à 2.10.10, atualize para a versão 2.10.10 ou posterior.

Como solução alternativa temporária, considere usar o NetworkPolicy para restringir a comunicação com a instância do Redis.

Restrinja o acesso ao servidor Redis apenas aos pods application-controller, repo-server e argocd-server.

Habilite o plug-in de política de rede para aplicar as políticas de rede.