Vulnerabilidad en Argo CD (CVE-2024-21662)

Argo CD es una herramienta declarativa de entrega continua de GitOps para Kubernetes. Antes de las versiones 2.8.13, 2.9.9 y 2.10.4, un atacante podía eludir eficazmente el límite de velocidad y las protecciones de fuerza bruta explotando el débil mecanismo basado en caché de la aplicación. Esta laguna de seguridad se puede combinar con otras vulnerabilidades para atacar la cuenta de administrador predeterminada. Esta falla socava un parche para CVE-2020-8827 destinado a proteger contra ataques de fuerza bruta. La protección de fuerza bruta de la aplicación se basa en un mecanismo de caché que rastrea los intentos de inicio de sesión de cada usuario. Este caché está limitado a un `defaultMaxCacheSize` de 1000 entradas. Un atacante puede desbordar este caché bombardeándolo con intentos de inicio de sesión para diferentes usuarios, eliminando así los intentos fallidos de la cuenta de administrador y restableciendo efectivamente el límite de velocidad para esa cuenta. Se trata de una vulnerabilidad grave que permite a los atacantes realizar ataques de fuerza bruta a un ritmo acelerado, especialmente dirigidos a la cuenta de administrador predeterminada. Los usuarios deben actualizar a la versión 2.8.13, 2.9.9 o 2.10.4 para recibir un parche.