CVE-2024-37152

Опубликовано: 06 июн. 2024

Источник: nvd

CVSS3: 5.3

CVSS3: 7.5

EPSS Высокий

Описание

Argo CD is a declarative, GitOps continuous delivery tool for Kubernetes. The vulnerability allows unauthorized access to the sensitive settings exposed by /api/v1/settings endpoint without authentication. All sensitive settings are hidden except passwordPattern. This vulnerability is fixed in 2.11.3, 2.10.12, and 2.9.17.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:argoproj:argo_cd:*:*:*:*:*:*:*:*

Версия от 2.9.3 (включая) до 2.9.17 (исключая)

cpe:2.3:a:argoproj:argo_cd:*:*:*:*:*:*:*:*

Версия от 2.10.0 (включая) до 2.10.12 (исключая)

cpe:2.3:a:argoproj:argo_cd:*:*:*:*:*:*:*:*

Версия от 2.11.0 (включая) до 2.11.3 (исключая)

EPSS

Процентиль: 99%

0.73405

Высокий

5.3 Medium

CVSS3

7.5 High

CVSS3

Дефекты

CWE-287

CWE-306

Связанные уязвимости

CVE-2024-37152

CVSS3: 5.3

redhat

больше 1 года назад

GHSA-87p9-x75h-p4j2

CVSS3: 5.3

github

больше 1 года назад

Unauthenticated Access to sensitive settings in Argo CD

BDU:2024-05984

CVSS3: 5.3

fstec

больше 1 года назад

Уязвимость декларативного инструмента непрерывной доставки GitOps для Kubernetes Argo CD, связанная с недостатками процедуры аутентификации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

EPSS

Процентиль: 99%

0.73405

Высокий

5.3 Medium

CVSS3

7.5 High

CVSS3

Дефекты

CWE-287

CWE-306