Vulnerabilidad CVE de Argo-cd de Argoproj. Lista CVE de errores Argo-cd de Argoproj.
Argo CD es una herramienta declarativa de entrega continua de GitOps para Kubernetes
16 de febrero del 2023
- CVE-2023-23947: Todas las versiones de CD de Argo a partir de 2.3.0-rc1 y anteriores a 2.3.17, 2.4.23, 2.5.11 y 2.6.2 son vulnerables a un error de autorización inadecuado que permite a los usuarios que tienen la capacidad de actualizar al menos un secreto de clúster para actualizar cualquier secreto de clúster.
- El atacante podría usar este acceso para escalar privilegios (controlando potencialmente los recursos de Kubernetes) o para romper la funcionalidad de Argo CD (al evitar conexiones a clústeres externos).
- Se ha publicado un parche para esta vulnerabilidad en las versiones 2.6.2, 2.5.11, 2.4.23 y 2.3.17 de Argo CD. Hay dos soluciones disponibles. Modifique la configuración de RBAC para revocar por completo todos los "clústeres, actualizar" el acceso,
9 de febrero del 2023
- CVE-2023-25163: Todas las versiones de Argo CD que comienzan con v2.6.0-rc1 tienen un error de saneamiento de salida que filtra las credenciales de acceso al repositorio en los mensajes de error.
- Estos mensajes de error son visibles para el usuario y se registran. El mensaje de error es visible cuando un usuario intenta crear o actualizar una aplicación a través de la API de CD de Argo (y, por lo tanto, la interfaz de usuario o la CLI).
- El usuario debe tener acceso RBAC `aplicaciones, crear` o `aplicaciones, actualizar` para alcanzar el código que puede producir el error.
- No se garantiza que el usuario pueda activar el mensaje de error. Pueden intentar enviar spam a la API con solicitudes para activar un error de límite de velocidad desde el repositorio ascendente.
- Si el usuario tiene acceso a `repositorios, actualizar`, pueden editar un repositorio existente para introducir un error tipográfico en la URL o forzar un mensaje de error. Pero si tienen ese nivel de acceso, probablemente estén destinados a tener acceso a las credenciales de todos modos.
- Se ha publicado un parche para esta vulnerabilidad en la versión 2.6.1. Se recomienda a los usuarios que actualicen. No hay soluciones alternativas conocidas para esta vulnerabilidad.
Paginas de referencia
- CVE-2023-23947:
https://github.com/argoproj/argo-cd/commit/fbb0b99b1ac3361b253052bd30259fa43a520945 - CVE-2023-25163:
https://www.cisa.gov/uscert/ics/advisories/icsa-23-033-01
Otras referencias sobre vulnerabilidades CVE
- Cryptography
- Ravencoin Core
- OpenKM
- Mayan Edms
- Logicaldoc Enterprise
- Interactive Geo Maps
- Invoiceplane
- Sourcecodester oretnom23
- Microchip Technology NRF5340 dk dt100112
- Microchip RN4870
- Onedev
- Wicked folders
- Weblabyrinth
- sds 3008 series industrial ethernet switch
- Terramaster NAS
- Wallet cpp en dogecoin project dogecoin core
- Schlix web inc schlix cms
- Exactmetrics
- mt6879 mt6895 mt6983
¿Quieres encontrar más vulnerabilidades?.
Sin usted, esta web no existiria. Gracias por visitarme, espero que le haya gustado y vuelva. Muchas gracias ☺️
Fecha actualización el 2023-02-20. Fecha publicación el 2023-02-11. Autor: Oscar olg Mapa del sitio Fuente: cve report