漏洞信息详情
ArgoCD 安全漏洞
- CNNVD编号:CNNVD-202203-2019
- 危害等级: 超危
- CVE编号: CVE-2022-1025
- 漏洞类型: 其他
- 发布时间: 2022-03-22
- 威胁类型:
- 更新时间: 2022-04-29
- 厂 商:
- 漏洞来源:
漏洞简介
ArgoCD是一个应用软件。用于Kubernetes的声明性GitOps连续交付工具。它持续监控正在运行的应用程序并将当前的实时状态与所需的目标状态(例如 Git 仓库中的配置)进行比较,在 Git 仓库更改时自动同步和部署应用程序。
ArgoCD存在安全漏洞,攻击者对应用程序的 git 或 Helm repository执行他们无权执行的操作。例如,攻击者具有“update”或“delete”的权限,他们可以修改或删除目标集群上的任何资源,并将 ArgoCD 权限提升到管理员级别。如果攻击者具有“get”访问权限,他们可以查看和列出目标集群上除机密之外的任何资源,并查看目标集群上任何 pod 的日志。如果攻击者对应用程序具有“/{some action or *}”操作的访问权限,他们可以对任何支持应用程序的目标集群上进行运行操作。
漏洞公告
目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
https://argo-cd.readthedocs.io/en/stable/
参考网址
来源:www.auscert.org.au
链接:https://www.auscert.org.au/bulletins/ESB-2022.1263
来源:access.redhat.com
链接:https://access.redhat.com/security/cve/cve-2022-1025
来源:packetstormsecurity.com
链接:https://packetstormsecurity.com/files/166437/Red-Hat-Security-Advisory-2022-1039-01.HTML
受影响实体
暂无
补丁
- ArgoCD 安全漏洞的修复措施
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论