CVE-2024-40634

Nome do software vulnerável e versões afetadas:

Versões do Argo CD anteriores à 2.11.6

Versões do Argo CD anteriores à 2.10.15

Versões do Argo CD anteriores à 2.9.20

Descrição:

O problema está relacionado a um invasor não autenticado que envia uma carga JSON grande e especialmente criada para o endpoint “/api/webhook”, causando alocação excessiva de memória que leva à interrupção do serviço ao acionar um kill por falta de memória (OOM). Isso representa um alto risco para a disponibilidade das implantações do Argo CD. A vulnerabilidade pode ser explorada enviando-se uma solicitação maliciosa de grande porte com cabeçalhos, como “X-GitHub-Event: push”, que fará com que o ArgoCD comece a alocar memória para analisar a solicitação recebida.

Recomendações:

Para versões anteriores à 2.11.6, atualize para a versão 2.11.6 ou posterior.

Para versões anteriores à 2.10.15, atualize para a versão 2.10.15 ou posterior.

Para versões anteriores à 2.9.20, atualize para a versão 2.9.20 ou posterior.

Como solução alternativa temporária, considere restringir o acesso ao endpoint “/api/webhook” para minimizar o risco de exploração.

Aplique um limite ao tamanho da solicitação que está sendo analisada para evitar alocação excessiva de memória.