正文

GitHub argo-cd 信息泄露漏洞

admin
admin V管理员 /0 评论 /18 阅读
0325
此篇文章发布距今已超过1201天,您需要注意文章的内容或图片是否可用!

漏洞信息详情

GitHub argo-cd 信息泄露漏洞

  • CNNVD编号:CNNVD-202203-2096
    • <!--
  • 危害等级: -->
  • 危害等级: 
  • CVE编号: CVE-2022-24768
  • 漏洞类型: 信息泄露
  • 发布时间: 2022-03-23
  • 威胁类型:
  • 更新时间: 2022-03-24
  • 厂        商:
  • 漏洞来源:

漏洞简介

GitHub argo-cd是 (Github)开源的一个应用软件。用于Kubernetes的声明性GitOps连续交付工具。

GitHub argo-cd 存在信息泄露漏洞,该漏洞源于不正确的访问控制导致管理员权限升级。从1.0.0版本开始的所有未打补丁版本的Argo CD都容易受到不正确的访问控制错误的攻击,攻击者利用该漏洞将其权限升级到管理员级别。从0.5.0版本开始和从0.8.0开始的版本就出现此漏洞。攻击者必须具有对应用程序源git或Helm存储库的推送访问权限,或对应用程序的“sync”和“override”权限。一旦用户拥有该访问权限,根据其他RBAC权限,可能会出现不同的攻击级别。Argo CD 2.3.2版本、2.2.8版本和2.1.14版本中发布了针对该漏洞的修补程序。

漏洞公告

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://github.com/argoproj/argo-cd/security/advisories/GHSA-2f5v-8r3f-8pww

参考网址

来源:MISC

链接:https://github.com/argoproj/argo-cd/releases/tag/v2.2.8

来源:MISC

链接:https://github.com/argoproj/argo-cd/commit/af03b291d4b7e9d3ce9a6580ae9c8141af0e05cf

来源:CONFIRM

链接:https://github.com/argoproj/argo-cd/security/advisories/GHSA-2f5v-8r3f-8pww

来源:MISC

链接:https://github.com/argoproj/argo-cd/releases/tag/v2.3.2

来源:MISC

链接:https://github.com/argoproj/argo-cd/releases/tag/v2.1.14

受影响实体

    暂无


补丁

  • GitHub argo-cd 信息泄露漏洞的修复措施
    <!--
    2022-3-23
    -->