Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-02194

Опубликовано: 18 мар. 2024
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость декларативного инструмента непрерывной доставки GitOps для Kubernetes Argo CD связана с отсутствием ограничений попыток аутентификации при обработке параметра defaultMaxCacheSize. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти ограничения безопасности или вызвать отказ в обслуживании

Вендор

The Linux Foundation

Наименование ПО

Argo CD

Версия ПО

до 2.8.13 (Argo CD)
от 2.9.0 до 2.9.9 (Argo CD)
от 2.10.0 до 2.10.4 (Argo CD)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/argoproj/argo-cd/releases
https://github.com/argoproj/argo-cd/security/advisories/GHSA-x32m-mvfj-52xv

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 20%
0.00066
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

redhat логотип

CVE-2024-21652

CVSS3: 5.4
redhat
почти 2 года назад

Argo CD is a declarative, GitOps continuous delivery tool for Kubernetes. Prior to versions 2.8.13, 2.9.9, and 2.10.4, an attacker can exploit a chain of vulnerabilities, including a Denial of Service (DoS) flaw and in-memory data storage weakness, to effectively bypass the application's brute force login protection. This is a critical security vulnerability that allows attackers to bypass the brute force login protection mechanism. Not only can they crash the service affecting all users, but they can also make unlimited login attempts, increasing the risk of account compromise. Versions 2.8.13, 2.9.9, and 2.10.4 contain a patch for this issue.

nvd логотип

CVE-2024-21652

CVSS3: 9.8
nvd
почти 2 года назад

Argo CD is a declarative, GitOps continuous delivery tool for Kubernetes. Prior to versions 2.8.13, 2.9.9, and 2.10.4, an attacker can exploit a chain of vulnerabilities, including a Denial of Service (DoS) flaw and in-memory data storage weakness, to effectively bypass the application's brute force login protection. This is a critical security vulnerability that allows attackers to bypass the brute force login protection mechanism. Not only can they crash the service affecting all users, but they can also make unlimited login attempts, increasing the risk of account compromise. Versions 2.8.13, 2.9.9, and 2.10.4 contain a patch for this issue.

github логотип

GHSA-x32m-mvfj-52xv

CVSS3: 9.8
github
почти 2 года назад

Bypassing Brute Force Protection via Application Crash and In-Memory Data Loss

EPSS

Процентиль: 20%
0.00066
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2