Argo CD — это декларативный инструмент непрерывной доставки GitOps для Kubernetes. В Argo CD была обнаружена уязвимость, которая раскрывала секретные значения в сообщениях об ошибках и представлении различий при синхронизации недопустимого секретного ресурса Kubernetes с репозиторием. Уязвимость предполагает, что пользователь имеет доступ на запись в репозиторий и может использовать его намеренно или непреднамеренно, зафиксировав неверный секретный ключ в репозитории и запустив синхронизацию.
После взлома любой пользователь, имеющий доступ на чтение к компакт-диску Argo, сможет просмотреть раскрытые секретные данные. Уязвимость исправлена в версиях 2.13.4, 2.12.10 и 2.11.13.
Показать оригинальное описание (EN)
Argo CD is a declarative, GitOps continuous delivery tool for Kubernetes. A vulnerability was discovered in Argo CD that exposed secret values in error messages and the diff view when an invalid Kubernetes Secret resource was synced from a repository. The vulnerability assumes the user has write access to the repository and can exploit it, either intentionally or unintentionally, by committing an invalid Secret to repository and triggering a Sync. Once exploited, any user with read access to Argo CD can view the exposed secret data. The vulnerability is fixed in v2.13.4, v2.12.10, and v2.11.13.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 3
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Argoproj Argo_Cd
cpe:2.3:a:argoproj:argo_cd:*:*:*:*:*:*:*:*
|
— |
2.11.13
|
|
Argoproj Argo_Cd
cpe:2.3:a:argoproj:argo_cd:*:*:*:*:*:*:*:*
|
2.12.0
|
2.12.10
|
|
Argoproj Argo_Cd
cpe:2.3:a:argoproj:argo_cd:*:*:*:*:*:*:*:*
|
2.13.0
|
2.13.4
|