PT-2024-5352 · Argo Cd · Argo Cd
Crenshaw-Dev
·
Publicado
2024-05-20
·
Atualizado
2024-08-07
·
CVE-2024-36106
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Argo CD anteriores à 2.11.3
Versões do Argo CD anteriores à 2.10.12
Versões do Argo CD anteriores à 2.9.17
Descrição
O Argo CD é uma ferramenta declarativa de entrega contínua GitOps para o Kubernetes. É possível que usuários autenticados enumerem clusters por nome ao inspecionar mensagens de erro. Também é possível enumerar os nomes de projetos com clusters no escopo do projeto, caso se conheça os nomes dos clusters. Essa vulnerabilidade pode ser explorada enviando solicitações para pontos de extremidade específicos da API, como ‘https://localhost:8080/api/v1/clusters/in-cluster?id.type=name’, e analisando as mensagens de erro retornadas.
Recomendações
Para versões anteriores à 2.11.3, atualize para a versão 2.11.3 ou posterior.
Para versões anteriores à 2.10.12, atualize para a versão 2.10.12 ou posterior.
Para versões anteriores à 2.9.17, atualize para a versão 2.9.17 ou posterior.
Como solução alternativa temporária, considere restringir o acesso ao endpoint
api/v1/clusters até que um patch seja aplicado.Exploit
Correção
Generation of Error Message Containing Sensitive Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Argo Cd