Se ha reportado un nuevo aviso de seguridad sobre dos vulnerabilidades que afectan a Argo CD, que permitirían a un atacante provocar escritura fuera de los límites, escalamiento de privilegios y denegación de servicio (DoS) del sistema afectado.
Las vulnerabilidades se componen de 2 (dos) de severidad “Crítica”. Las mismas se detallan a continuación:
- CVE-2023-22482, de severidad “Crítica”, con puntuación de 9.8. Esta vulnerabilidad se debe a una falla de autorización en la API de Argo CD. Esto permitiría a un atacante a través de tokens inválidos, obtener acceso no autorizado a la API afectada.
- CVE-2023-23947, de severidad “Crítica”, con puntuación de 9.1. Esta vulnerabilidad se debe a una falla de validación de datos de entrada en las configuraciones almacenadas de acceso al clúster en Argo CD. Esto permitiría a un atacante con acceso a la API realizar escritura fuera de los límites, escalamiento de privilegios y denegación de servicio (DoS) del sistema afectado.
Los productos afectados son:
- Argo CD, versiones desde 1.8.2 hasta 2.6.0-rc4, 2.5.7, 2.4.18 y 2.3.13.
- Argo CD, versiones desde 2.3.0-rc1 hasta 2.3.16, 2.4.22, 2.5.10 y 2.6.1.
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante en el siguiente enlace:
Referencias:
- https://securityonline.info/cve-2023-23947-critical-security-bypass-vulnerability-in-argo-cd/
- https://nvd.nist.gov/vuln/detail/CVE-2023-23947
- https://nvd.nist.gov/vuln/detail/CVE-2023-22482
- https://github.com/argoproj/argo-cd/releases/tag/v2.6.0-rc5
- https://github.com/argoproj/argo-cd/releases/tag/v2.5.8
- https://github.com/argoproj/argo-cd/releases/tag/v2.4.20
- https://github.com/argoproj/argo-cd/releases/tag/v2.3.14
- https://github.com/argoproj/argo-cd/releases/tag/v2.3.17
- https://github.com/argoproj/argo-cd/releases/tag/v2.4.23
- https://github.com/argoproj/argo-cd/releases/tag/v2.5.11
- https://github.com/argoproj/argo-cd/releases/tag/v2.6.2