Vulnerabilidad en la contraseña de administrador en el nombre del pod argocd-server en Argo (CVE-2020-8828)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

08/04/2020

Última modificación:

07/08/2024

Descripción

A partir de la versión v1.5.0, la contraseña de administrador predeterminada es establecida en el nombre del pod argocd-server. Para los iniciados con acceso al clúster o los registros, este problema podría ser abusado para una escalada de privilegios, ya que Argo posee roles privilegiados. Un empleado interno malicioso es la amenaza más realista, pero los nombres de pod no deben mantenerse en secreto y podrían terminar en cualquier lugar.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.80 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

8.80

Gravedad 3.x

ALTA

Vector 2.0

AV:N/AC:L/Au:S/C:P/I:P/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: AV:N/AC:L/Au:S/C:P/I:P/A:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Simple
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Físico