Vulnerabilidad en Argo CD (CVE-2023-22482)

Argo CD es una herramienta declarativa de entrega continua de GitOps para Kubernetes. Las versiones de Argo CD que comienzan con v1.8.2 y anteriores a 2.3.13, 2.4.19, 2.5.6 y 2.6.0-rc-3 son vulnerables a un error de autorización incorrecta que hace que la API acepte ciertos tokens no válidos. Los proveedores de OIDC incluyen un reclamo "aud" (audiencia) en tokens firmados. El valor de esa afirmación especifica la(s) audiencia(s) prevista(s) del token (es decir, el servicio o servicios que deben aceptar el token). Argo CD _valida_ que el token fue firmado por el proveedor OIDC configurado de Argo CD. Pero Argo CD _no_ valida el reclamo de audiencia, por lo que aceptará tokens que no estén destinados a Argo CD. Si el proveedor OIDC configurado de Argo CD también atiende a otras audiencias (por ejemplo, un servicio de almacenamiento de archivos), entonces Argo CD aceptará un token destinado a una de esas otras audiencias. Argo CD otorgará privilegios de usuario según el reclamo de "grupos" del token, aunque esos grupos no estaban destinados a ser utilizados por Argo CD. Este error también aumenta el impacto de un token robado. Si un atacante roba un token válido para una audiencia diferente, puede usarlo para acceder a Argo CD. Se lanzó un parche para esta vulnerabilidad en las versiones 2.6.0-rc3, 2.5.6, 2.4.19 y 2.3.13. No hay workarounds.