De Argo CD web terminal sessie behandelt de intrekking van gebruikersrechten niet correct in github.com/argoproj/argo-cd

Een aanvaller kan deze kwetsbaarheid uitbuiten om ongeautoriseerde toegang te verkrijgen tot de Argo CD web terminal. Dit kan leiden tot het compromitteren van de applicaties die door Argo CD worden beheerd, en mogelijk tot het verkrijgen van controle over de onderliggende infrastructuur. De impact is verhoogd als Argo CD wordt gebruikt om kritieke applicaties te beheren of als de web terminal toegang geeft tot gevoelige informatie. Het misbruik van deze kwetsbaarheid kan vergelijkbaar zijn met het verkrijgen van een backdoor in de deployment pipeline, waardoor de aanvaller ongezien wijzigingen kan aanbrengen.

Organizations heavily reliant on Argo CD for GitOps workflows are at risk. Specifically, deployments with extensive user access controls and frequent permission changes are more vulnerable. Environments where Argo CD is integrated with other critical systems, such as CI/CD pipelines or infrastructure-as-code tools, face a higher potential impact.

• linux / server:

journalctl -u argocd-server -g 'permission revocation'

• go / supply-chain: Inspect Argo CD source code for instances of permission handling logic, particularly around session management and revocation routines. Look for potential race conditions or improper checks. • generic web: Monitor Argo CD access logs for unusual patterns of user activity after permission changes. Look for sessions that persist after a user's access should have been revoked.

1. 2024-08-06Disclosure

   disclosure

1. Gereserveerd2024-07-18
2. Gepubliceerd2024-08-06
3. Gewijzigd2026-02-04
4. EPSS bijgewerkt2026-04-02

De primaire mitigatie is het upgraden van Argo CD naar versie 2.9.21 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot de web terminal via een firewall of WAF. Controleer de Argo CD configuratie op onnodige privileges die aan gebruikers zijn toegekend. Na de upgrade, verifieer de correcte werking van de sessiebeheerfunctionaliteit door een gebruiker uit te loggen en te controleren of de sessie daadwerkelijk wordt beëindigd.