Vulnerabilidad en Argo CD con Helm (CVE-2023-40026)

Argo CD es un framework continuo declarativo para Kubernetes. En las versiones de Argo CD anteriores a la 2.3 (a partir de al menos la v0.1.0, pero probablemente en cualquier versión que use Helm antes de la 2.3), el uso de un archivo Helm manipulado específicamente podría hacer referencia a gráficos Helm externos manejados por el mismo servidor de repositorio para filtrar valores, o archivos del Helm Chart al que se hace referencia. Esto fue posible porque los caminos de Helm eran predecibles. La vulnerabilidad funcionó agregando un gráfico de Helm que hacía referencia a los recursos de Helm desde rutas predecibles. Debido a que las rutas de los gráficos de Helm eran predecibles y estaban disponibles en una instancia de repositorio-servidor, era posible hacer referencia y luego representar los valores y recursos de otros gráficos de Helm existentes independientemente de los permisos. Si bien, generalmente los secretos no se almacenan en estos archivos, fue posible hacer referencia a cualquier valor de estos gráficos. Este problema se solucionó en Argo CD 2.3 y versiones posteriores aleatorizando las rutas de Helm. Se recomienda a los usuarios que todavía utilizan Argo CD 2.3 o inferior que actualicen a una versión compatible. Si esto no es posible, deshabilitar la representación de gráficos de Helm o utilizar un servidor de repositorio adicional para cada gráfico de Helm evitaría una posible explotación.