CVE-2025-47933

Nome do Software Vulnerável e Versões Afetadas Versões do Argo CD anteriores à v2.13.8 Versões do Argo CD anteriores à v2.14.13 Versões do Argo CD anteriores à v3.0.4

Descrição Este problema permite que um atacante execute ações arbitrárias em nome da vítima via API, como criar, modificar e excluir recursos do Kubernetes. A vulnerabilidade é causada pela filtragem inadequada de protocolos de URL na página do repositório, permitindo que um atacante realize cross-site scripting com permissão para editar o repositório. O arquivo ui/src/app/shared/components/urls.ts contém código que analisa a URL do repositório sem validar o protocolo, tornando possível injetar URLs javascript:. Isso pode levar a cross-site scripting, pois o valor de retorno desta função é usado no atributo href da tag a.

Recomendações Atualize para a versão v2.13.8 ou posterior do Argo CD para corrigir a vulnerabilidade. Atualize para a versão v2.14.13 ou posterior do Argo CD para corrigir a vulnerabilidade. Atualize para a versão v3.0.4 ou posterior do Argo CD para corrigir a vulnerabilidade. Como solução temporária, considere confiar no navegador para filtrar a URL até que um patch seja aplicado.