Vulnerabilidad en Argo CD (CVE-2024-21661)

Argo CD es una herramienta declarativa de entrega continua de GitOps para Kubernetes. Antes de las versiones 2.8.13, 2.9.9 y 2.10.4, un atacante podía explotar una falla crítica en la aplicación para iniciar un ataque de denegación de servicio (DoS), dejando la aplicación inoperable y afectando a todos los usuarios. El problema surge de la manipulación insegura de una matriz en un entorno de subprocesos múltiples. La vulnerabilidad tiene su origen en el código de la aplicación, donde se modifica una matriz mientras se itera sobre ella. Este es un error de programación clásico, pero se vuelve críticamente inseguro cuando se ejecuta en un entorno de subprocesos múltiples. Cuando dos subprocesos interactúan con la misma matriz simultáneamente, la aplicación falla. Esta es una vulnerabilidad de denegación de servicio (DoS). Cualquier atacante puede bloquear la aplicación continuamente, imposibilitando que los usuarios legítimos accedan al servicio. El problema se agrava porque no requiere autenticación, lo que amplía el grupo de atacantes potenciales. Las versiones 2.8.13, 2.9.9 y 2.10.4 contienen un parche para este problema.