Argo CD 存在权限管理不当漏洞
漏洞描述
Argo CD 是一款用于 Kubernetes 的 GitOps 持续交付工具。
该项目受影响版本存在权限管理不当漏洞,由于cluster.go中的Update方法中权限控制存在不当,具备修改一个集群 secret权限的攻击者则可以通过此漏洞修改任何集群的secret,进而实现提升权限(可能控制Kubernetes资源)或中断Argo CD功能(通过阻止连接到外部群集)。
| 漏洞名称 | Argo CD 存在权限管理不当漏洞 |
|---|---|
| 漏洞类型 | 特权管理不恰当 |
| 发现时间 | 2023-02-17 |
| 漏洞影响广度 | 一般 |
| MPS编号 | MPS-2023-2210 |
| CVE编号 | CVE-2023-23947 |
| CNVD编号 | - |
影响范围
github.com/argoproj/argo-cd@[2.4.0, 2.4.23)
github.com/argoproj/argo-cd@[2.6.0, 2.6.2)
github.com/argoproj/argo-cd@[2.5.0, 2.5.11)
github.com/argoproj/argo-cd@[2.3.0, 2.3.17)
修复方案
升级github.com/argoproj/argo-cd到2.3.17 、2.4.23、2.5.11 、2.6.2 或更高版本
参考链接
https://www.oscs1024.com/hd/MPS-2023-2210
https://nvd.nist.gov/vuln/detail/CVE-2023-23947
https://github.com/argoproj/argo-cd/commit/fbb0b99b1ac3361b253052bd30259fa43a520945、 Commit
https://github.com/argoproj/argo-cd/security/advisories/GHSA-3jfq-742w-xg8j
免费情报订阅&代码安全检测
OSCS是国内首个开源软件供应链安全社区,社区联合开发者帮助全球顶级开源项目解决安全问题,并提供实时的安全漏洞情报,同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。
免费代码安全检测工具: https://www.murphysec.com/?src=osc
免费情报订阅: https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见: https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
关注公众号 低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
HQChart 1.1.11740 版本发布,增加 K 线滚动条,键盘精灵,数据导出等功能
系统简介 HQChart 是国内第 1 个基于传统 PC 股票客户端软件 (C++) 移植到 js/py 平台的一个项目,包含 K 线图图形库及麦语法 (分析家语法) 指标执行器. 平台支持:js, vue, uniapp, 小程序 注意事项 由于 HQChart 是一个金融类的插件,所以请大家不要把插件使用在违法的地方。请根据HQChart 用户使用协议文明使用插件. HQChart 商业使用说明及用户使用协议 HQChart 内置数据源仅供开发测试使用,请不要使用在任何商业用途。目前内置数据源已取消跨域功能。本地调试请参考教程解决 Chrome 本地调试跨域, 如果是 VUE 请使用 127.0.0.1:8080站点调试 增加新功能 增加键盘精灵 小程序增加长按十字光标停留模式 K线图支持order book heat map 指标引擎增加函数 TESTSKIP, IFC, SUMBARS,SECTOTIME, DAYSTOTODAY,TIME2,SIGN,WEEKOFYEAR, 使用方法与通达信一致。 K线,分时图增加数据导出功能 画图工具支持按ctrl移动。 K线图增加横向滚动...
- 下一篇
node-jose 拒绝服务漏洞
漏洞描述 node-jose是用于Web浏览器和node.js的服务器的JSON对象签名和加密(JOSE)的JavaScript实现。 在使用node-jose 2.2.0版之前的JS环境中,当使用非默认“ fallback”加密后端时,由于node-jose内部计算中的ECC操作可能存在无限循环,进而导致拒绝服务(DOS)。该问题已在版本2.2.0中进行了修补。此问题仅存在于“ fallback”加密实现中,建议用户在运行node-jose的JS环境中可用webcrypto或crypto模块来避免。 漏洞名称 node-jose 拒绝服务漏洞 漏洞类型 不可达退出条件的循环(无限循环) 发现时间 2023-02-17 漏洞影响广度 小 MPS编号 MPS-2023-4412 CVE编号 CVE-2023-25653 CNVD编号 - 影响范围 node-jose@(-∞, 2.2.0) 修复方案 将组件 node-jose 升级至 2.2.0 及以上版本 参考链接 https://www.oscs1024.com/hd/MPS-2023-4412 https://nvd.nist.g...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- CentOS7安装Docker,走上虚拟化容器引擎之路
- Docker安装Oracle12C,快速搭建Oracle学习环境
- SpringBoot2全家桶,快速入门学习开发网站教程
- CentOS7设置SWAP分区,小内存服务器的救世主
- CentOS7,CentOS8安装Elasticsearch6.8.6
- Hadoop3单机部署,实现最简伪集群
- SpringBoot2更换Tomcat为Jetty,小型站点的福音
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
微信收款码
支付宝收款码