एप्लिकेशन सारांश घटक में क्रॉस-साइट स्क्रिप्टिंग github.com/argoproj/argo-cd/v2 में

यह XSS भेद्यता हमलावरों को पीड़ित उपयोगकर्ता की अनुमति के साथ मनमाने ढंग से क्रियाएं करने की अनुमति देती है, जिसमें API के माध्यम से कुबेरनेट्स संसाधनों का निर्माण, संशोधन और विलोपन शामिल है। एक हमलावर एक दुर्भावनापूर्ण जावास्क्रिप्ट लिंक को UI में इंजेक्ट कर सकता है। जब किसी पीड़ित उपयोगकर्ता द्वारा इस पर क्लिक किया जाता है, तो स्क्रिप्ट पीड़ित की अनुमति के साथ निष्पादित होगी, संभावित रूप से उन्हें व्यवस्थापक विशेषाधिकार प्राप्त होगी। यह भेद्यता संवेदनशील डेटा तक अनधिकृत पहुंच, सिस्टम नियंत्रण का समझौता और अन्य दुर्भावनापूर्ण गतिविधियों को जन्म दे सकती है। इस भेद्यता का शोषण Argo CD के भीतर सुरक्षा को गंभीर रूप से कमजोर कर सकता है और संगठन के लिए महत्वपूर्ण जोखिम पैदा कर सकता है।

Organizations heavily reliant on Argo CD for GitOps deployments and Kubernetes management are at significant risk. Specifically, environments with privileged Argo CD users or those lacking robust input validation practices are particularly vulnerable. Shared hosting environments where multiple users share Argo CD instances are also at increased risk.

• linux / server:

journalctl -u argocd -g 'link.argocd.argoproj.io' | grep -i javascript

• generic web:

curl -I <argo-cd-url>/applications/<app-name> | grep link.argocd.argoproj.io

• wordpress / composer / npm: (Not applicable as Argo CD is not a WordPress/Composer/npm component) • database (mysql, redis, mongodb, postgresql): (Not applicable as Argo CD is not a database component) • windows / supply-chain: (Not applicable as Argo CD is not a Windows component)

1. 2024-03-22Disclosure

   disclosure

2. 2024-03-22Patch

   patch

1. आरक्षित2024-03-06
2. प्रकाशित2024-03-22
3. संशोधित2026-02-04
4. EPSS अद्यतन2026-04-02

CVE-2024-28175 को कम करने के लिए, Argo CD को तुरंत संस्करण 2.10.3 या बाद के संस्करण में अपग्रेड करना महत्वपूर्ण है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेब एप्लिकेशन फ़ायरवॉल (WAF) को कॉन्फ़िगर किया जा सकता है ताकि दुर्भावनापूर्ण स्क्रिप्ट इंजेक्शन को रोकने के लिए लिंक.argocd.argoproj.io एनोटेशन में URL प्रोटोकॉल फ़िल्टरिंग को सख्त किया जा सके। इसके अतिरिक्त, Argo CD में उपयोगकर्ता इनपुट को मान्य और सैनिटाइज़ करने के लिए अतिरिक्त सुरक्षा उपाय लागू किए जाने चाहिए। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता को सफलतापूर्वक संबोधित किया गया है, सिस्टम की जांच करें और सभी संबंधित घटकों को पुनरारंभ करें।