Argo CD 授权错误漏洞(CVE-2023-23947)的风险通告
2023-2-18 15:1:7 Author: 赛博昆仑CERT(查看原文) 阅读量:14 收藏

-赛博昆仑漏洞安全通告-

Argo CD 授权错误漏洞的风险通告
(CVE-2023-23947)

漏洞描述

Argo CD 是以 Kubernetes 作为基础设施,遵循声明式 GitOps 理念的持续交付(continuous delivery, CD)工具,支持多种配置管理工具,包括 ksonnet/jsonnet、kustomize 和 Helm 等。它的配置和使用非常简单,并且自带一个简单易用的可视化界面。
近日,赛博昆仑CERT监测到Argo CD官方发布了安全通告,披露了Argo CD的授权错误漏洞,该漏洞允许能够更新任意至少一个集群Secret的用户更新其他任意集群的Secret,攻击者可利用此漏洞提升权限或破坏Argo CD的功能。
漏洞名称
ArgoCD授权错误漏洞
漏洞公开编号
CVE-2023-23947
昆仑漏洞库编号
CYKL-2023-001469
漏洞类型
授权错误
公开时间
2023-02-17
漏洞等级
高危
CVSS评分
9.1
漏洞描述
Argo CD中存在授权错误漏洞。当允许攻击者更新至少一个集群的Secret时 ,攻击者可以更改其他任意集群的Secret。攻击者可利用此漏洞提升权限或破坏Argo CD的功能。
影响版本
Argo CD v2.3.x <= 2.3.16
Argo CD v2.4.x <= 2.4.22
Argo CD v2.5.x <= 2.5.10
Argo CD v2.6.x <= 2.6.1
PoC状态
未知
EXP状态
未知
在野利用
未知
技术细节
未知
修复建议

目前,官方已发布修复建议,建议受影响的用户尽快升级至安全版本。

Argo CD v2.6.2

Argo CD v2.5.11

Argo CD v2.4.23

Argo CD v2.3.17

下载地址:

https://github.com/argoproj/argo-cd/releases

技术咨询

赛博昆仑支持对用户提供轻量级的检测规则或热补方式,可提供定制化服务适配多种产品及规则,帮助用户进行漏洞检测和修复。

参考链接

  • https://github.com/argoproj/argo-cd/security/advisories/GHSA-3jfq-742w-xg8j

时间线
  • 2023年2月17日,Argo CD官方发布安全通告
  • 2023年2月17日,赛博昆仑CERT向邮件订阅客户发布安全风险通告
  • 2023年2月18日,赛博昆仑CERT发布安全风险通告

技术业务咨询

邮箱:[email protected]


文章来源: http://mp.weixin.qq.com/s?__biz=MzkxMDQyMTIzMA==&mid=2247483904&idx=1&sn=869044fa28b50bb25e4ec8e62504cf11&chksm=c12aff81f65d7697980bb8308a9c7b541c0c2de79401afa1ede52e503734553a1e387d3d93bd#rd
如有侵权请联系:admin#unsafe.sh