Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-05674

Опубликовано: 22 июл. 2024
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость декларативного инструмента непрерывной доставки GitOps для Kubernetes Argo CD связана с неконтролируемым расходом ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании, путем отправки специально созданной полезной нагрузки JSON в конечную точку /api/webhook

Вендор

The Linux Foundation

Наименование ПО

Argo CD

Версия ПО

до 2.9.20 (Argo CD)
от 2.10.0 до 2.10.15 (Argo CD)
от 2.11.0 до 2.11.6 (Argo CD)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- введение ограничения на размер входящих запросов на уровне веб-сервера или прокси-сервера, который обрабатывает запросы для Argo CD;
- установка лимита ресурсов для pod'ов Argo CD в манифестах Kubernetes с целью ограничения влияния атаки на другие компоненты кластера;
- использование средств межсетевого экранирования уровня веб-приложений для фильтрации и контроля запросов;
- ограничение доступа к кластеру из внешних сетей (Интернет);
- использование виртуальных частных сетей для организации удаленного доступа (VPN).
Использование рекомендаций производителя:
https://github.com/argoproj/argo-cd/commit/46c0c0b64deaab1ece70cb701030b76668ad0cdc
https://github.com/argoproj/argo-cd/commit/540e3a57b90eb3655db54793332fac86bcc38b36
https://github.com/argoproj/argo-cd/commit/d881ee78949e23160a0b280bb159e4d3d625a4df
https://github.com/argoproj/argo-cd/security/advisories/GHSA-jmvp-698c-4x3w

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 87%
0.035
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

redhat логотип

CVE-2024-40634

CVSS3: 7.5
redhat
больше 1 года назад

Argo CD is a declarative, GitOps continuous delivery tool for Kubernetes. This report details a security vulnerability in Argo CD, where an unauthenticated attacker can send a specially crafted large JSON payload to the /api/webhook endpoint, causing excessive memory allocation that leads to service disruption by triggering an Out Of Memory (OOM) kill. The issue poses a high risk to the availability of Argo CD deployments. This vulnerability is fixed in 2.11.6, 2.10.15, and 2.9.20.

nvd логотип

CVE-2024-40634

CVSS3: 7.5
nvd
больше 1 года назад

Argo CD is a declarative, GitOps continuous delivery tool for Kubernetes. This report details a security vulnerability in Argo CD, where an unauthenticated attacker can send a specially crafted large JSON payload to the /api/webhook endpoint, causing excessive memory allocation that leads to service disruption by triggering an Out Of Memory (OOM) kill. The issue poses a high risk to the availability of Argo CD deployments. This vulnerability is fixed in 2.11.6, 2.10.15, and 2.9.20.

github логотип

GHSA-jmvp-698c-4x3w

CVSS3: 7.5
github
больше 1 года назад

Argo CD Unauthenticated Denial of Service (DoS) Vulnerability via /api/webhook Endpoint

EPSS

Процентиль: 87%
0.035
Низкий

7.5 High

CVSS3

7.8 High

CVSS2