Argo CD 存在 csrf 漏洞
漏洞描述
Argo CD 是一个声明式的 GitOps 持续交付工具,用于在 Kubernetes 环境中进行应用程序的持续交付和部署管理。
受影响版本中,由于未对 argocd.argoproj.io 注释中的URL协议正确过滤,具有 ArgoCD 管理资源的写入权限的攻击者可在 UI 中注入 javascript: 链接。当受害用户点击时,脚本将以受害者的权限(包括管理员权限)执行,进而执行创建API、修改和删除 Kubernetes 资源等操作。
漏洞名称 | Argo CD 存在 csrf 漏洞 |
---|---|
漏洞类型 | CSRF |
发现时间 | 2024-03-14 |
漏洞影响广度 | 广 |
MPS编号 | MPS-foxv-68g9 |
CVE编号 | CVE-2024-28175 |
CNVD编号 | - |
影响范围
argo-cd@[1.0, 2.10.3)
argo-cd@[2.9.7, 2.9.8)
argo-cd@[2.8.11, 2.8.12)
github.com/argoproj/argo-cd/v2@[1.0, 2.10.3)
github.com/argoproj/argo-cd/v2@[2.9.7, 2.9.8)
github.com/argoproj/argo-cd/v2@[2.8.11, 2.8.12)
修复方案
将 argo-cd 升级至 2.9.8 及以上版本
将 argo-cd 升级至 2.8.12 及以上版本
将 github.com/argoproj/argo-cd/v2 升级至 2.10.3 及以上版本
使用 RBAC 限制用户对 Kubernetes 资源清单的写入权限
将 github.com/argoproj/argo-cd/v2 升级至 2.9.8 及以上版本
将组件 github.com/argoproj/argo-cd/v2 升级至 2.8.12 及以上版本
将 argo-cd 升级至 2.10.3 及以上版本
参考链接
https://www.oscs1024.com/hd/MPS-foxv-68g9
https://nvd.nist.gov/vuln/detail/CVE-2024-28175
https://github.com/argoproj/argo-cd/commit/479b5544b57dc9ef767d49f7003f39602c480b71
https://github.com/argoproj/argo-cd/security/advisories/GHSA-jwv5-8mqv-g387
免费情报订阅&代码安全检测
OSCS是国内首个开源软件供应链安全社区,社区联合开发者帮助全球顶级开源项目解决安全问题,并提供实时的安全漏洞情报,同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。
免费代码安全检测工具: https://www.murphysec.com/?src=osc
免费情报订阅: https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见: https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
京墨 v1.8.0 已经发布,古诗词文 APP
京墨 v1.8.0 已经发布,古诗词文 APP 此版本更新内容包括: 更新日志 优化诗文同步,实现“续传”功能; 优化诗文搜索查询; 添加诗文注释赏析; 添加【诗文】、【诗文名句】、【成语】小组件; 修复暗黑模式下应用图标不能正常显示问题。 建议升级到这个版本,用户体验会提升很多。 详情查看:https://gitee.com/hefengbao/jingmo/releases/v1.8.0
- 下一篇
Spring Web UriComponentsBuilder URL解析不当漏洞(CVE-2024-22243绕过)
漏洞描述 Spring Framework 是一个开源的Java应用程序框架,UriComponentsBuilder是Spring Web中用于构建和操作URI的工具类。 由于对CVE-2024-22243的修复不充分,攻击者可构造一下两类 url 绕过主机名验证,导致开放重定向或SSRF漏洞: 1、包含以 http 开头的 scheme 但不包含 host; 2、url 中的 host 以 [ 开头但不以 ] 结尾。 漏洞名称 Spring Web UriComponentsBuilder URL解析不当漏洞(CVE-2024-22243绕过) 漏洞类型 SSRF 发现时间 2024-03-14 漏洞影响广度 广 MPS编号 MPS-vhl4-ut8e CVE编号 CVE-2024-22259 CNVD编号 - 影响范围 org.springframework:spring-web@[6.1.0, 6.1.5) org.springframework:spring-web@[6.0.0, 6.0.18) org.springframework:spring-web@(-∞, 5.3...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Linux系统CentOS6、CentOS7手动修改IP地址
- CentOS关闭SELinux安全模块
- MySQL8.0.19开启GTID主从同步CentOS8
- SpringBoot2初体验,简单认识spring boot2并且搭建基础工程
- Docker安装Oracle12C,快速搭建Oracle学习环境
- CentOS7,8上快速安装Gitea,搭建Git服务器
- CentOS7安装Docker,走上虚拟化容器引擎之路
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS7设置SWAP分区,小内存服务器的救世主
- CentOS6,7,8上安装Nginx,支持https2.0的开启