Platform
go
Component
github.com/argoproj/argo-cd
Opgelost in
1.0.1
2.9.1
2.10.1
1.8.8
CVE-2024-28175 is een Cross-Site Scripting (XSS) kwetsbaarheid in Argo CD, een declaratief GitOps continuous delivery tool. Deze kwetsbaarheid stelt een aanvaller in staat om kwaadaardige JavaScript-code uit te voeren met de rechten van een slachtoffer, mogelijk tot en met beheerdersrechten. De kwetsbaarheid treft versies van Argo CD vóór 2.10.3. Een fix is beschikbaar in versie 2.10.3.
Deze XSS-kwetsbaarheid in Argo CD maakt het mogelijk voor een aanvaller om kwaadaardige JavaScript-code uit te voeren in de context van een andere gebruiker. Dit kan leiden tot ongeautoriseerde toegang tot gevoelige gegevens, manipulatie van applicatieconfiguraties en zelfs volledige controle over de Argo CD-omgeving. De aanvaller kan bijvoorbeeld API-aanroepen doen namens het slachtoffer, waardoor ze Kubernetes-resources kunnen aanmaken, wijzigen of verwijderen. Dit vormt een aanzienlijk risico voor organisaties die Argo CD gebruiken voor het beheren van hun applicaties en infrastructuur.
Deze kwetsbaarheid is publiekelijk bekend en er zijn geen bekende actieve campagnes gemeld. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de complexiteit van de exploitatie is relatief laag. De kwetsbaarheid is toegevoegd aan de CISA KEV catalogus, wat de urgentie van patching onderstreept. De publicatiedatum van de CVE is 2024-03-22.
Organizations heavily reliant on Argo CD for GitOps deployments and Kubernetes management are at significant risk. Specifically, environments with privileged Argo CD users or those lacking robust input validation practices are particularly vulnerable. Shared hosting environments where multiple users share Argo CD instances are also at increased risk.
• linux / server:
journalctl -u argocd -g 'link.argocd.argoproj.io' | grep -i javascript• generic web:
curl -I <argo-cd-url>/applications/<app-name> | grep link.argocd.argoproj.io• wordpress / composer / npm: (Not applicable as Argo CD is not a WordPress/Composer/npm component) • database (mysql, redis, mongodb, postgresql): (Not applicable as Argo CD is not a database component) • windows / supply-chain: (Not applicable as Argo CD is not a Windows component)
disclosure
patch
Exploit Status
EPSS
0.48% (65% percentiel)
CVSS-vector
De primaire mitigatie voor CVE-2024-28175 is het upgraden van Argo CD naar versie 2.10.3 of hoger. Als een directe upgrade niet mogelijk is, kan het tijdelijk beperken van de rechten van gebruikers die toegang hebben tot de applicatie-samenvatting component helpen het risico te verminderen. Controleer ook de link.argocd.argoproj.io annotaties op verdachte inhoud. Er zijn geen specifieke WAF-regels of detectie signatures bekend, maar het monitoren van de Argo CD-logboeken op ongebruikelijke JavaScript-activiteit is aan te raden.
Werk Argo CD bij naar versie 2.10.3, 2.9.8 of 2.8.12, of hoger. Indien een update niet mogelijk is, maak dan een Kubernetes admission controller om resources te weigeren met annotaties die beginnen met `link.argocd.argoproj.io` of die incorrecte URL-protocollen gebruiken. Pas deze validatie toe in alle clusters die worden beheerd door ArgoCD.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-28175 is a critical Cross-Site Scripting (XSS) vulnerability in Argo CD versions before 2.10.3. It allows attackers to inject malicious JavaScript via application annotations, potentially gaining control over Kubernetes resources.
You are affected if you are running Argo CD versions prior to 2.10.3. Check your Argo CD version and upgrade immediately if vulnerable.
Upgrade Argo CD to version 2.10.3 or later. As a temporary workaround, implement a WAF rule to block suspicious URLs in application annotations.
While no active exploitation campaigns have been confirmed, the vulnerability's severity and ease of exploitation suggest a high probability of exploitation.
Refer to the Argo CD security advisory: [https://argoproj.github.io/cd/security/](https://argoproj.github.io/cd/security/)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.