Plateforme
go
Composant
github.com/argoproj/argo-cd
Corrigé dans
1.0.1
2.9.1
2.10.1
1.8.8
La vulnérabilité CVE-2024-28175 est une faille de Cross-Site Scripting (XSS) critique découverte dans Argo CD, un outil de déploiement GitOps. Cette faille permet à un attaquant d'injecter du code JavaScript malveillant dans l'interface utilisateur d'Argo CD. Les versions affectées sont celles antérieures à la version 2.10.3. Une correction est disponible et recommandée.
Cette vulnérabilité XSS est particulièrement dangereuse car elle permet à un attaquant d'exécuter du code JavaScript avec les permissions de l'utilisateur victime. Un attaquant peut exploiter cette faille en injectant un lien javascript: malveillant dans les annotations link.argocd.argoproj.io de l'application. Lorsque l'utilisateur victime clique sur ce lien, le script s'exécute, donnant à l'attaquant la capacité de réaliser des actions arbitraires sur les ressources Kubernetes, y compris la création, la modification et la suppression. Le risque est d'autant plus élevé que l'attaquant peut potentiellement obtenir des privilèges d'administrateur via la victime. Cette vulnérabilité pourrait être exploitée pour compromettre l'ensemble de l'infrastructure Kubernetes gérée par Argo CD.
Cette vulnérabilité a été rendue publique le 22 mars 2024. Bien qu'il n'y ait pas de preuve d'exploitation active à ce jour, la gravité critique de la vulnérabilité et la disponibilité d'un proof-of-concept potentiel suggèrent un risque élevé d'exploitation. Il est conseillé de surveiller les forums de sécurité et les canaux de communication pour détecter d'éventuelles campagnes d'exploitation. La vulnérabilité n'a pas encore été ajoutée au KEV de CISA.
Organizations heavily reliant on Argo CD for GitOps deployments and Kubernetes management are at significant risk. Specifically, environments with privileged Argo CD users or those lacking robust input validation practices are particularly vulnerable. Shared hosting environments where multiple users share Argo CD instances are also at increased risk.
• linux / server:
journalctl -u argocd -g 'link.argocd.argoproj.io' | grep -i javascript• generic web:
curl -I <argo-cd-url>/applications/<app-name> | grep link.argocd.argoproj.io• wordpress / composer / npm: (Not applicable as Argo CD is not a WordPress/Composer/npm component) • database (mysql, redis, mongodb, postgresql): (Not applicable as Argo CD is not a database component) • windows / supply-chain: (Not applicable as Argo CD is not a Windows component)
disclosure
patch
Statut de l'Exploit
EPSS
0.48% (percentile 65%)
Vecteur CVSS
La mitigation principale consiste à mettre à jour Argo CD vers la version 2.10.3 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est fortement recommandé de désactiver temporairement les annotations link.argocd.argoproj.io ou de mettre en œuvre une validation stricte des URL autorisées. En attendant la mise à jour, une solution de contournement pourrait consister à utiliser un Web Application Firewall (WAF) pour bloquer les requêtes contenant des liens javascript: suspects. Vérifiez après la mise à jour que la fonctionnalité d'annotations de liens fonctionne correctement et qu'aucune injection de script n'est possible.
Mettez à jour Argo CD à la version 2.10.3, 2.9.8 ou 2.8.12, ou supérieure. Si la mise à jour n'est pas possible, créez un contrôleur d'admission Kubernetes pour rejeter les ressources avec des annotations commençant par `link.argocd.argoproj.io` ou utilisant des protocoles d'URL incorrects. Appliquez cette validation à tous les clusters gérés par ArgoCD.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-28175 is a critical Cross-Site Scripting (XSS) vulnerability in Argo CD versions before 2.10.3. It allows attackers to inject malicious JavaScript via application annotations, potentially gaining control over Kubernetes resources.
You are affected if you are running Argo CD versions prior to 2.10.3. Check your Argo CD version and upgrade immediately if vulnerable.
Upgrade Argo CD to version 2.10.3 or later. As a temporary workaround, implement a WAF rule to block suspicious URLs in application annotations.
While no active exploitation campaigns have been confirmed, the vulnerability's severity and ease of exploitation suggest a high probability of exploitation.
Refer to the Argo CD security advisory: [https://argoproj.github.io/cd/security/](https://argoproj.github.io/cd/security/)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.