CVE-2022-24730

ALT: (7.7)

CVSS3: 6.7

Argo Project Argo CD podria permetre a un usuari autenticat remot a recórrer directoris al sistema, causat pel control d’accés impropi dels /api/v1/repositoris/{repo.url}/appdetails endpoint. Un atacant podria enviar una sol·licitud d’URL especialment elaborada que conté seqüències «punt punt» (/../) per veure fitxers arbitraris al servidor de repositoris.

Sistemes Afectats:

• Argo Project Argo CD 1.3.0
• Argo Project Argo CD 2.1.10
• Argo Project Argo CD 2.2.5
• Argo Project Argo CD 2.3.0-rc5

Recomanacions:

Actualitza a l’última versió de l’Argo CD (2.1.11, 2.2.6, 2.3.0 o posterior), disponible des del Repositori del GIT d’Argo CD.

Referències:

• https://github.com/argoproj/argo-cd/security/advisories/GHSA-r9cr-hvjj-496v
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-24730