Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

Linuxfoundation›Приложениеanchore_overrides,nvd

Argo-cd

Уязвимости

24

Эксплуатируемые

0

Макс. CVSS

9.9

Макс. EPSS

0.04518

Распределение по критичности

Критический

3

Высокий

8

Средний

13

Низкий

0

Затронутые диапазоны версий

0.1.0–2.7.160.4.0–2.2.110.5.0–2.4.281.0.0–2.8.121.0.0–2.9.201.2.0-rc1–1.8.71.2.0-rc1–2.8.121.2.0–1.8.72.1.0–2.14.202.10.0–2.10.122.10.0–2.10.72.10.0–2.10.82.13.0–2.13.42.13.0–2.13.92.4.0–2.8.142.6.0–2.9.212.9.0-rc1–2.14.202.9.3–2.9.173.2.0–3.2.11< 2.8.13< 2.8.19

Также сопоставлено как (исходные строки): argo-cd,argo_cd

Топ уязвимостей

CVE-2025-55190Argo CD - это декларативный инструмент непрерывной доставки GitOps для Kubernetes. В версиях 2.13.0 - 2.13.8, 2.14.0 - 2.14.15, 3.0.0 - 3.0.12 и 3.1.0-rc1 - 3.1.1 токены API с разрешениями уровня проекта могут получить конфиденциальные учетные данные репозитория (имена пользователей, пароли) через конечную точку сведений о проекте API, даже если токен имеет только стандартные разрешения на управление приложениями и нет явного доступа к секретам. Эта уязвимость затрагивает не только разрешения уровня проекта. Любой токен с разрешениями get проекта также уязвим, включая глобальные разрешения, такие как: p, role/user, projects, get, *, allow. Проблема исправлена в версиях 2.13.9, 2.14.16, 3.0.14 и 3.1.2 [1, 2]. Источники: - [1] https://github.com/argoproj/argo-cd/security/advisories/GHSA-786q-9hcg-v9ff - [2] https://github.com/argoproj/argo-cd/commit/e8f86101f5378662ae6151ce5c3a76e9141900e8

CVE-2026-42880Argo CD является декларативным инструментом непрерывной доставки GitOps для Kubernetes. От версий 3.2.0 до 3.2.11 и 3.3.0 до 3.3.9 отсутствует разрыв в авторизации и маскировке данных в конечной точке Argo CD ServerSideDiff, что позволяет злоумышленнику с доступом только для чтения с помощью слушателя извлекать данные Kubernetes Secret из etcd через механизм сухого выполнения сервера Kubernetes API сервера Kubernetes. Эта проблема была исправлена в версиях 3.2.11 и 3.3.9.

CVE-2024-31989Argo CD — это декларативный инструмент непрерывной доставки GitOps для Kubernetes. Обнаружено, что непривилегированный модуль pod в другом пространстве имен в том же кластере может подключаться к серверу Redis через порт 6379. Несмотря на установку последней версии плагина VPC CNI в кластере EKS, для обеспечения сетевой политики требуется ручная активация через конфигурацию. Это вызывает опасения, что многие клиенты могут неосознанно иметь открытый доступ к своим серверам Redis. Эта уязвимость может привести к повышению привилегий до уровня контроллера кластера или к утечке информации, затрагивающей любого, у кого нет строгого контроля доступа к своему экземпляру Redis. Эта проблема была исправлена в версиях 2.8.19, 2.9.15 и 2.10.10.

CVE-2024-28175Argo CD — это декларативный инструмент непрерывной доставки GitOps для Kubernetes. Из-за неправильной фильтрации URL-протоколов ссылок, указанных в аннотациях `link.argocd.argoproj.io` в компоненте сводки приложения, злоумышленник может добиться межсайтового скриптинга с повышенными разрешениями. Все неисправленные версии Argo CD, начиная с версии v1.0.0, уязвимы к ошибке межсайтового скриптинга (XSS), позволяющей злоумышленнику внедрять ссылку javascript: в пользовательский интерфейс. При нажатии пользователем-жертвой сценарий будет выполняться с разрешениями жертвы (вплоть до администратора). Эта уязвимость позволяет злоумышленнику выполнять произвольные действия от имени жертвы через API, такие как создание, изменение и удаление ресурсов Kubernetes. Исправление для этой уязвимости было выпущено в версиях Argo CD v2.10.3, v2.9.8 и v2.8.12. Полностью безопасных обходных путей, кроме обновления, не существует. Самой безопасной альтернативой, если обновление невозможно, будет создание контроллера допуска Kubernetes для отклонения любых ресурсов с аннотацией, начинающейся с link.argocd.argoproj.io, или отклонения ресурса, если значение использует неправильный URL-протокол. Эту проверку необходимо будет применить во всех кластерах, управляемых ArgoCD.

CVE-2024-22424Argo CD - это декларативный инструмент непрерывной доставки GitOps для Kubernetes. API Argo CD до версий 2.10-rc2, 2.9.4, 2.8.8 и 2.7.15 уязвим для атаки межсерверной подделки запросов (CSRF), когда злоумышленник имеет возможность записывать HTML на страницу в том же родительском домене, что и Argo CD. Атака CSRF работает, обманом заставляя аутентифицированного пользователя Argo CD загрузить веб-страницу, которая содержит код для вызова конечных точек API Argo CD от имени жертвы. Например, злоумышленник может отправить пользователю Argo CD ссылку на страницу, которая выглядит безвредной, но в фоновом режиме вызывает конечную точку API Argo CD для создания приложения, запускающего вредоносный код. Argo CD использует политику cookie SameSite «Lax» для предотвращения CSRF-атак, когда злоумышленник контролирует внешний домен. Вредоносный внешний веб-сайт может попытаться вызвать API Argo CD, но веб-браузер откажется отправлять токен аутентификации Argo CD с запросом. Многие компании размещают Argo CD на внутреннем поддомене. Если злоумышленник может разместить вредоносный код, например, на https://test.internal.example.com/, он все равно может выполнить CSRF-атаку. В этом случае cookie SameSite «Lax» не мешает браузеру отправлять cookie аутентификации, поскольку пункт назначения является родительским доменом API Argo CD. Браузеры обычно блокируют такие атаки, применяя политики CORS к конфиденциальным запросам с конфиденциальными типами контента. В частности, браузеры будут отправлять «предварительный запрос» для POST с типом контента «application/json», спрашивая API назначения: «Разрешено ли вам принимать запросы с моего домена?» Если API назначения не ответит «да», браузер заблокирует запрос. До исправленных версий Argo CD не проверял, содержат ли запросы правильный заголовок типа контента. Таким образом, злоумышленник может обойти проверку CORS браузером, установив тип контента на что-то, что считается «не конфиденциальным», например «text/plain». Браузер не будет отправлять предварительный запрос, и Argo CD с радостью примет содержимое (которое на самом деле все еще является JSON) и выполнит запрошенное действие (например, запуск вредоносного кода). Исправление для этой уязвимости было выпущено в следующих версиях Argo CD: 2.10-rc2, 2.9.4, 2.8.8 и 2.7.15. Исправление содержит критическое изменение API. API Argo CD больше не будет принимать запросы, отличные от GET, которые не указывают application/json в качестве Content-Type. Список принятых типов контента можно настроить, и можно (но не рекомендуется) полностью отключить проверку типа контента. Пользователям рекомендуется обновиться. Известных обходных путей для решения этой уязвимости нет.

CVE-2022-31105Argo CD — это декларативный инструмент непрерывной поставки GitOps для Kubernetes. Argo CD, начиная с версии 0.4.0 и до версий 2.2.11, 2.3.6 и 2.4.5, уязвим для ошибки неправильной проверки сертификатов, которая может привести к тому, что Argo CD будет доверять вредоносному (или иным образом ненадежному) поставщику OpenID Connect (OIDC). Исправление для этой уязвимости было выпущено в версиях Argo CD 2.4.5, 2.3.6 и 2.2.11. Полных обходных путей нет, но доступен частичный обходной путь. Те, кто использует внешнего поставщика OIDC (не входящий в комплект экземпляр Dex), могут смягчить проблему, установив поле `oidc.config.rootCA` в ConfigMap `argocd-cm`. Это смягчение принудительно применяет проверку сертификатов только тогда, когда сервер API обрабатывает потоки входа в систему. Он не принудительно применяет проверку сертификатов при проверке токенов при вызовах API.

CVE-2025-59538Argo CD является декларативным, GitOps инструментом непрерывной доставки для Kubernetes. Для версий 2.9.0-rc1 до 2.14.19, 3.0.0-rc1 до 3.2.0-rc1, 3.1.6 и 3.0.17, когда webhook.azuredevops.username и webhook.azuredevops.password не установлены в конфигурации по умолчанию, конечные точки /api/webhook выбивает весь процесс argocd-server, когда он получаетЭто пусто. К индексу среза [0] можно получить доступ без проверки длины, что вызывает панику в индексе вне диапазона. Одного неаутентифицированного HTTP POST достаточно, чтобы убить процесс. Данный вопрос решается в версиях 2.14.20, 3.2.0-rc2, 3.1.8 и 3.0.19.

CVE-2025-59537Argo CD является декларативным, GitOps инструментом непрерывной доставки для Kubernetes. Версии 1.2.0 - 1.8.7, 2.0.0-rc1 - 2.14.19, 3.0.0-rc1 - 3.2.0-rc1, 3.1.7 и 3.0.18 являются уязвимыми для вредоносных запросов API, которые могут привести к краху сервера API и вызвать отказ в обслуживании законным клиентам. С конфигурацией по умолчанию, без набора webhook.gogs.secret, конекторная точка Argo CD /api/webhook разрушит весь процесс argocd-server, когда он получит событие толчка Gogs, поле JSON, электронное поле JSON, электронное поле JSON не устанавливается или является нулевым. Данная проблема исправлена в версиях 2.14.20, 3.2.0-rc2, 3.1.8 и 3.0.19.

CVE-2025-59531Argo CD является декларативным, GitOps инструментом непрерывной доставки для Kubernetes. Версии 1.2.0 - 1.8.7, 2.0.0-rc1 - 2.14.19, 3.0.0-rc1 - 3.2.0-rc1, 3.1.7 и 3.0.18 являются уязвимыми для вредоносных запросов API, которые могут привести к краху сервера API и вызвать отказ в обслуживании законным клиентам. Без сконфигурированного webhook.bitbucketserver.secret, Argo CD /api/webhook endpoint сбивается при получении неправильно сформированной полезной нагрузки Bitbucket Server (нешарнее поле repository.links.clone). Один неаутентированный запрос запускает CrashLoopBackOff, а нацеливание на все реплики вызывает полное отключение API. Данная проблема исправлена в версиях 2.14.20, 3.2.0-rc2, 3.1.8 и 3.0.19.

CVE-2024-40634Argo CD — это декларативный инструмент непрерывной доставки GitOps для Kubernetes. В этом отчете подробно описывается уязвимость безопасности в Argo CD, когда неаутентифицированный злоумышленник может отправить специально созданную большую полезную нагрузку JSON в конечную точку /api/webhook, что приведет к чрезмерному выделению памяти, что приведет к сбою службы из-за срабатывания Out Of Memory (OOM) kill. Проблема представляет высокий риск для доступности развертываний Argo CD. Эта уязвимость исправлена в версиях 2.11.6, 2.10.15 и 2.9.20.

CVE-2024-21661Argo CD — это декларативный инструмент непрерывной поставки GitOps для Kubernetes. В версиях до 2.8.13, 2.9.9 и 2.10.4 злоумышленник может использовать критическую уязвимость в приложении для инициирования атаки типа «отказ в обслуживании» (DoS), делая приложение неработоспособным и затрагивая всех пользователей. Проблема возникает из-за небезопасного манипулирования массивом в многопоточной среде. Уязвимость уходит корнями в код приложения, где массив изменяется во время итерации по нему. Это классическая ошибка программирования, но она становится критически опасной при выполнении в многопоточной среде. Когда два потока взаимодействуют с одним и тем же массивом одновременно, приложение аварийно завершает работу. Это уязвимость типа «отказ в обслуживании» (DoS). Любой злоумышленник может непрерывно выводить приложение из строя, делая невозможным доступ к сервису для законных пользователей. Проблема усугубляется тем, что она не требует аутентификации, расширяя круг потенциальных злоумышленников. Версии 2.8.13, 2.9.9 и 2.10.4 содержат исправление для этой проблемы.

CVE-2025-23216Argo CD - это декларативный инструмент непрерывной доставки GitOps для Kubernetes. В Argo CD была обнаружена уязвимость, которая раскрыла секретные значения в сообщениях об ошибках и в представлении diffs, когда недействительный ресурс Kubernetes Secret был синхронизирован из репозитория. Уязвимость предполагает, что пользователь имеет доступ на запись к репозиторию и может использовать ее, как намеренно, так и непреднамеренно, коммитируя недействительный Secret в репозиторий и вызывая синхронизацию. После эксплуатации любой пользователь с правами на чтение к Argo CD может видеть раскрытые секретные данные. Уязвимость исправлена в версиях v2.13.4, v2.12.10 и v2.11.13.

CVE-2024-32476Argo CD — это декларативный инструмент непрерывной доставки GitOps для Kubernetes. Существует уязвимость типа Denial of Service (DoS) через OOM с использованием jq в ignoreDifferences. Эта уязвимость была исправлена в версиях 2.10.7, 2.9.12 и 2.8.16.

CVE-2024-29893Argo CD - это декларативный инструмент непрерывной доставки GitOps для Kubernetes. Во всех версиях ArgoCD, начиная с v2.4, есть ошибка, из-за которой компонент ArgoCD repo-server уязвим для атаки типа "отказ в обслуживании". В частности, можно обрушить компонент repo server из-за ошибки нехватки памяти, указав ему на вредоносный реестр Helm. Функция loadRepoIndex() в пакете helm ArgoCD не ограничивает размер или время при получении данных. Она получает их и создает байтовый срез из полученных данных за один раз. Если реестр реализован для непрерывной отправки данных, репозиторный сервер будет продолжать выделять память, пока она не закончится. Патч для этой уязвимости был выпущен в версиях v2.10.3, v2.9.8 и v2.8.12.

CVE-2023-50726Argo CD — это декларативный инструмент непрерывной доставки GitOps для Kubernetes. «Локальная синхронизация» — это функция Argo CD, которая позволяет разработчикам временно переопределять манифесты приложения локально определенными манифестами. Использование этой функции обычно должно быть ограничено пользователями, которым доверяют, поскольку она позволяет пользователю обходить любую защиту слияния в git. Ошибка неправильной проверки позволяет пользователям, у которых есть привилегии `create`, но нет привилегий `override`, синхронизировать локальные манифесты при создании приложения. Все остальные ограничения, включая ограничения AppProject, по-прежнему действуют. Единственное ограничение, которое не действует, заключается в том, что манифесты поступают из некоторого утвержденного источника git/Helm/OCI. Ошибка была внесена в 1.2.0-rc1, когда была добавлена функция локальной синхронизации манифестов. Ошибка была исправлена в версиях Argo CD 2.10.3, 2.9.8 и 2.8.12. Пользователям рекомендуется выполнить обновление. Пользователи, которые не могут выполнить обновление, могут снизить риск обхода защиты ветвей, удалив доступ RBAC `applications, create`. Единственный способ устранить проблему без удаления доступа RBAC — это выполнить обновление до исправленной версии.

CVE-2025-47933Argo CD - это декларативный инструмент непрерывной доставки GitOps для Kubernetes. До версий 2.13.8, 2.14.13 и 3.0.4 злоумышленник может выполнять произвольные действия от имени жертвы через API. Из-за неправильной фильтрации протоколов URL на странице репозитория злоумышленник может выполнить межсайтовый скриптинг с разрешением на редактирование репозитория [1]. Патч для этой уязвимости был выпущен в версиях Argo CD: v3.0.4, v2.14.13, v2.13.8. Источники: - [1] https://github.com/argoproj/argo-cd/security/advisories/GHSA-2hj5-g64g-fp6p - [2] https://github.com/argoproj/argo-cd/commit/a5b4041a79c54bc7b3d090805d070bcdb9a9e4d1

CVE-2024-21662Argo CD — это декларативный инструмент непрерывной поставки GitOps для Kubernetes. В версиях до 2.8.13, 2.9.9 и 2.10.4 злоумышленник может эффективно обойти ограничение скорости и защиту от brute force-атак, используя слабый механизм на основе кеша приложения. Эту лазейку в безопасности можно объединить с другими уязвимостями для атаки на учетную запись администратора по умолчанию. Этот недостаток подрывает исправление для CVE-2020-8827, предназначенное для защиты от brute force-атак. Защита приложения от brute force основана на механизме кеширования, который отслеживает попытки входа в систему для каждого пользователя. Этот кеш ограничен значением `defaultMaxCacheSize`, равным 1000 записям. Злоумышленник может переполнить этот кеш, заполнив его попытками входа в систему для разных пользователей, тем самым вытеснив неудачные попытки учетной записи администратора и эффективно сбросив ограничение скорости для этой учетной записи. Это серьезная уязвимость, которая позволяет злоумышленникам выполнять brute force-атаки с повышенной скоростью, особенно нацеленные на учетную запись администратора по умолчанию. Пользователям следует обновиться до версии 2.8.13, 2.9.9 или 2.10.4, чтобы получить исправление.

CVE-2024-21652Argo CD — это декларативный инструмент непрерывной поставки GitOps для Kubernetes. В версиях до 2.8.13, 2.9.9 и 2.10.4 злоумышленник может использовать цепочку уязвимостей, включая уязвимость типа «отказ в обслуживании» (DoS) и слабость хранения данных в памяти, чтобы эффективно обойти защиту приложения от brute force login. Это критическая уязвимость безопасности, которая позволяет злоумышленникам обойти механизм защиты от brute force login. Они могут не только вывести из строя сервис, затронув всех пользователей, но и совершать неограниченное количество попыток входа в систему, что повышает риск взлома учетной записи. Версии 2.8.13, 2.9.9 и 2.10.4 содержат исправление для этой проблемы.

CVE-2025-55191Argo CD — декларативный инструмент GitOps для непрерывного деплоймента в Kubernetes. В версиях 2.1.0‑2.14.19, 3.0.0‑rc1‑3.0.18, 3.1.0‑rc1‑3.1.7, 3.2.0‑rc1 обнаружено состояние гонки в обработчике учётных данных репозитория (файл util/db/repository_secrets.go). При одновременных операциях (создание, обновление или удаление) над одним и тем же URL репозитория происходит конкурентный доступ к карте без синхронизации, что приводит к панике и падению сервера Argo CD. Для запуска уязвимости требуется действительный API‑токен с правами на ресурсы repositories (create, update, delete) [1]. Исправление реализовано в версиях 2.14.20, 3.0.19, 3.1.8 и 3.2.0‑rc2: перед изменением секретов теперь используется их глубокое копирование, что устраняет гонку данных [2][3]. Источники: - [1] https://github.com/argoproj/argo-cd/security/advisories/GHSA-g88p-r42r-ppp9 - [2] https://github.com/argoproj/argo-cd/pull/6103 - [3] https://github.com/argoproj/argo-cd/commit/701bc50d01c752cad96185f848088d287a97c7b7

CVE-2024-37152Argo CD - это декларативный инструмент непрерывной доставки GitOps для Kubernetes. Уязвимость позволяет несанкционированный доступ к конфиденциальным настройкам, предоставляемым конечной точкой /api/v1/settings без аутентификации. Все конфиденциальные настройки скрыты, кроме passwordPattern. Эта уязвимость устранена в версиях 2.11.3, 2.10.12 и 2.9.17.

CVE-2022-41354Проблема контроля доступа в Argo CD версии 2.4.12 и ниже позволяет неаутентифицированным атакующим перечислять существующие приложения.

CVE-2024-31990API-сервер Argo CD не обеспечивает sourceNamespaces проекта, что позволяет злоумышленникам использовать пользовательский интерфейс для редактирования ресурсов, которые должны быть изменяемы только через gitops. Эта уязвимость исправлена в версиях 2.10.7, 2.9.12 и 2.8.16.

CVE-2024-41666Argo CD - это декларативный инструмент GitOps для непрерывной доставки для Kubernetes. Argo CD имеет веб-терминал, который позволяет пользователям получать оболочку внутри работающего pod, как если бы они использовали kubectl exec. Начиная с версии 2.6.0, когда администратор включает эту функцию и предоставляет пользователю разрешение `p, role:myrole, exec, create, */*, allow`, даже если пользователь отзывает это разрешение, пользователь все равно может выполнять операции в контейнере, если пользователь оставляет открытым окно терминала в течение длительного времени. Хотя срок действия токена и отзыв пользователя исправлены, исправление не решает ситуацию отзыва только разрешений пользователя `p, role:myrole, exec, create, */*, allow`, что все еще может привести к утечке конфиденциальной информации. Исправление этой уязвимости было выпущено в версиях Argo CD 2.11.7, 2.10.16 и 2.9.21.

CVE-2024-36106Argo CD - это декларативный инструмент непрерывной доставки GitOps для Kubernetes. Аутентифицированные пользователи могут перечислять кластеры по имени, просматривая сообщения об ошибках. Также можно перечислять имена проектов с кластерами, ограниченными проектом, если известны имена кластеров. Эта уязвимость исправлена в версиях 2.11.3, 2.10.12 и 2.9.17.

Перейти к вендору →Открыть в каталоге с фильтром по продукту →