Vulnerabilidad en el envío de un Token Web JSON (JWT) en Argo CD (CVE-2022-29165)

Argo CD es una herramienta declarativa de entrega continua GitOps para Kubernetes. Se ha detectado una vulnerabilidad crítica en Argo CD a partir de la versión 1.4.0 y versiones anteriores a 2.1.15, 2.2.9 y 2.3.4 que permitiría a usuarios no autenticados hacerse pasar por cualquier usuario o rol de Argo CD, incluido el usuario "admin", mediante el envío de un Token Web JSON (JWT) específicamente diseñado junto con la petición. Para que esta vulnerabilidad pueda ser explotada, el acceso anónimo a la instancia de CD Argo debe estar habilitado. En una instalación por defecto de Argo CD, el acceso anónimo está deshabilitado. La vulnerabilidad puede ser explotada para hacerse pasar por cualquier usuario o rol, incluyendo la cuenta "admin" incorporada, independientemente de si está habilitada o deshabilitada. Además, el atacante no necesita una cuenta en la instancia de CD Argo para poder explotar esto. Si el acceso anónimo a la instancia está habilitado, un atacante puede escalar sus privilegios, permitiéndole alcanzar los mismos privilegios en el cluster que la instancia de CD Argo, que es el administrador del cluster en una instalación por defecto. Esto permitirá al atacante crear, manipular y eliminar cualquier recurso en el clúster. También pueden exfiltrar datos al desplegar cargas de trabajo maliciosas con privilegios elevados, eludiendo así cualquier redacción de datos confidenciales que la API de CD de Argo pueda aplicar. Ha sido publicado un parche para esta vulnerabilidad en las versiones 2.3.4, 2.2.9 y 2.1.15 del CD Argo. Como mitigación, puede deshabilitarse el acceso anónimo, pero es preferible actualizar a una versión parcheada