Описание
Уязвимость конфигурации ignoreDifferences декларативного инструмента непрерывной доставки GitOps для Kubernetes Argo CD связана с неконтролируемым расходом ресурсов при обработке параметра jqPathExpressions. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Вендор
The Linux Foundation
Наименование ПО
Argo CD
Версия ПО
от 2.1.0 до 2.8.17 (Argo CD)
от 2.10.0 до 2.10.8 (Argo CD)
от 2.9.0 до 2.9.13 (Argo CD)
Тип ПО
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)
Возможные меры по устранению уязвимости
Использование рекомендаций:
https://github.com/argoproj/argo-cd/commit/7893979a1e78d59cedd0ba790ded24e30bb40657
https://github.com/argoproj/argo-cd/commit/9e5cc5a26ff0920a01816231d59fdb5eae032b5a
https://github.com/argoproj/argo-cd/commit/e2df7315fb7d96652186bf7435773a27be330cac
https://github.com/argoproj/argo-cd/releases/tag/v2.10.8
https://github.com/argoproj/argo-cd/releases/tag/v2.9.13
https://github.com/argoproj/argo-cd/releases/tag/v2.8.17
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 61%
0.00416
Низкий
6.5 Medium
CVSS3
6.8 Medium
CVSS2
Связанные уязвимости
CVSS3: 6.5
nvd
больше 1 года назад
Argo CD is a declarative, GitOps continuous delivery tool for Kubernetes. There is a Denial of Service (DoS) vulnerability via OOM using jq in ignoreDifferences. This vulnerability has been patched in version(s) 2.10.7, 2.9.12 and 2.8.16.
CVSS3: 6.5
github
почти 2 года назад
Argo CD vulnerable to a Denial of Service via malicious jqPathExpressions in ignoreDifferences
EPSS
Процентиль: 61%
0.00416
Низкий
6.5 Medium
CVSS3
6.8 Medium
CVSS2