CVE-2022-24757

MITJÀ: (6.8)

CVSS3: 5.9

Argo Project Argo CD podria permetre a un usuari autenticat, autenticar directoris en el sistema, causat per la validació inadequada del gràfic de Helm. Un atacant podria enviar una sol·licitud d’URL especialment elaborada que conté seqüències «punt punt» (/../) per veure fitxers arbitraris al servidor de repositoris.

Sistemes Afectats:

• Argo Project Argo CD 2.1.10
• Argo Project Argo CD 2.2.5
• Argo Project Argo CD 2.3.0-rc5
• Argo Project Argo CD 1.5.0

Recomanacions:

• Actualitza a l’última versió de l’Argo CD (2.1.11, 2.2.6, 2.3.0 o posterior), disponible des del Repositori del GIT d’Argo CD.

Referències:

• https://github.com/argoproj/argo-cd/security/advisories/GHSA-h6h5-6fmq-rh28
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-24731