Vulnerabilidad en Argo CD (CVE-2024-21652)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
18/03/2024
Última modificación:
09/01/2025
Descripción
Argo CD es una herramienta declarativa de entrega continua de GitOps para Kubernetes. Antes de las versiones 2.8.13, 2.9.9 y 2.10.4, un atacante podía explotar una cadena de vulnerabilidades, incluida una falla de denegación de servicio (DoS) y una debilidad en el almacenamiento de datos en memoria, para evitar de manera efectiva el inicio de sesión de fuerza bruta de la aplicación. proteccion. Esta es una vulnerabilidad de seguridad crítica que permite a los atacantes eludir el mecanismo de protección de inicio de sesión de fuerza bruta. No sólo pueden bloquear el servicio y afectar a todos los usuarios, sino que también pueden realizar intentos de inicio de sesión ilimitados, lo que aumenta el riesgo de que la cuenta se vea comprometida. Las versiones 2.8.13, 2.9.9 y 2.10.4 contienen un parche para este problema.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:argoproj:argo_cd:*:*:*:*:*:*:*:* | 2.8.13 (excluyendo) | |
| cpe:2.3:a:argoproj:argo_cd:*:*:*:*:*:*:*:* | 2.9.0 (incluyendo) | 2.9.9 (excluyendo) |
| cpe:2.3:a:argoproj:argo_cd:*:*:*:*:*:*:*:* | 2.10.0 (incluyendo) | 2.10.4 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página