Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-05984

Опубликовано: 06 июн. 2024
Источник: fstec
CVSS3: 5.3
CVSS2: 5
EPSS Высокий

Описание

Уязвимость декларативного инструмента непрерывной доставки GitOps для Kubernetes Argo CD связана с недостатками процедуры аутентификации при обработке конечной точки /api/v1/settings. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации

Вендор

The Linux Foundation

Наименование ПО

Argo CD

Версия ПО

от 2.10.0 до 2.10.12 (Argo CD)
от 2.11.0 до 2.11.3 (Argo CD)
от 2.9.3 до 2.9.17 (Argo CD)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/argoproj/argo-cd/commit/256d90178b11b04bc8174d08d7b663a2a7b1771b
https://github.com/argoproj/argo-cd/releases/tag/v2.9.17
https://github.com/argoproj/argo-cd/releases/tag/v2.10.12
https://github.com/argoproj/argo-cd/releases/tag/v2.11.3

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 99%
0.73405
Высокий

5.3 Medium

CVSS3

5 Medium

CVSS2

Связанные уязвимости

redhat логотип

CVE-2024-37152

CVSS3: 5.3
redhat
больше 1 года назад

Argo CD is a declarative, GitOps continuous delivery tool for Kubernetes. The vulnerability allows unauthorized access to the sensitive settings exposed by /api/v1/settings endpoint without authentication. All sensitive settings are hidden except passwordPattern. This vulnerability is fixed in 2.11.3, 2.10.12, and 2.9.17.

nvd логотип

CVE-2024-37152

CVSS3: 5.3
nvd
больше 1 года назад

Argo CD is a declarative, GitOps continuous delivery tool for Kubernetes. The vulnerability allows unauthorized access to the sensitive settings exposed by /api/v1/settings endpoint without authentication. All sensitive settings are hidden except passwordPattern. This vulnerability is fixed in 2.11.3, 2.10.12, and 2.9.17.

github логотип

GHSA-87p9-x75h-p4j2

CVSS3: 5.3
github
больше 1 года назад

Unauthenticated Access to sensitive settings in Argo CD

EPSS

Процентиль: 99%
0.73405
Высокий

5.3 Medium

CVSS3

5 Medium

CVSS2