Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-02570

Опубликовано: 13 мар. 2024
Источник: fstec
CVSS3: 6.4
CVSS2: 5.5
EPSS Низкий

Описание

Уязвимость декларативного инструмента непрерывной доставки GitOps для Kubernetes Argo CD связана с небезопасным управлением привилегиями. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить локальную синхронизацию

Вендор

Red Hat Inc.
The Linux Foundation

Наименование ПО

Red Hat OpenShift GitOps
Argo CD

Версия ПО

- (Red Hat OpenShift GitOps)
от 2.9.0 до 2.9.8 (Argo CD)
от 2.10.0 до 2.10.3 (Argo CD)
от 1.2.0-rc1 до 2.8.12 (Argo CD)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,4)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Argo CD:
обновление программного средства до версий 2.10.3, 2.9.8, 2.8.12 и выше
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2023-50726

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 6%
0.00024
Низкий

6.4 Medium

CVSS3

5.5 Medium

CVSS2

Связанные уязвимости

redhat логотип

CVE-2023-50726

CVSS3: 6.4
redhat
почти 2 года назад

Argo CD is a declarative, GitOps continuous delivery tool for Kubernetes. "Local sync" is an Argo CD feature that allows developers to temporarily override an Application's manifests with locally-defined manifests. Use of the feature should generally be limited to highly-trusted users, since it allows the user to bypass any merge protections in git. An improper validation bug allows users who have `create` privileges but not `override` privileges to sync local manifests on app creation. All other restrictions, including AppProject restrictions are still enforced. The only restriction which is not enforced is that the manifests come from some approved git/Helm/OCI source. The bug was introduced in 1.2.0-rc1 when the local manifest sync feature was added. The bug has been patched in Argo CD versions 2.10.3, 2.9.8, and 2.8.12. Users are advised to upgrade. Users unable to upgrade may mitigate the risk of branch protection bypass by removing `applications, create` RBAC access. The only ...

nvd логотип

CVE-2023-50726

CVSS3: 6.4
nvd
почти 2 года назад

Argo CD is a declarative, GitOps continuous delivery tool for Kubernetes. "Local sync" is an Argo CD feature that allows developers to temporarily override an Application's manifests with locally-defined manifests. Use of the feature should generally be limited to highly-trusted users, since it allows the user to bypass any merge protections in git. An improper validation bug allows users who have `create` privileges but not `override` privileges to sync local manifests on app creation. All other restrictions, including AppProject restrictions are still enforced. The only restriction which is not enforced is that the manifests come from some approved git/Helm/OCI source. The bug was introduced in 1.2.0-rc1 when the local manifest sync feature was added. The bug has been patched in Argo CD versions 2.10.3, 2.9.8, and 2.8.12. Users are advised to upgrade. Users unable to upgrade may mitigate the risk of branch protection bypass by removing `applications, create` RBAC access. The only way

github логотип

GHSA-g623-jcgg-mhmm

CVSS3: 6.4
github
почти 2 года назад

Users with `create` but not `override` privileges can perform local sync

EPSS

Процентиль: 6%
0.00024
Низкий

6.4 Medium

CVSS3

5.5 Medium

CVSS2