Kubernetes Argo CD权限提升漏洞 (CVE-2022-29165)

时间 : 2022-06-01 18:42:00

近日,网络应急团队监测到Argo CD发布的安全公告,修复了一个存在于Argo CD中的权限提升漏洞。当启用对Argo CD实例的匿名访问时(默认禁用),未经身份验证的用户可以通过在请求中发送特制的JSON Web Token(JWT)来冒充任何Argo CD用户或角色,包括管理员用户,无论该帐户是否被启用或存在于Argo CD实例上。成功利用此漏洞可以在集群上获得与Argo CD实例相同的权限,在默认安装中是集群管理员。这将能够创建、操纵和删除集群上的任何资源,或执行其它恶意操作。

【受影响版本】

· 1.4.0 <= Argo CD <= 2.1.14

· Argo CD 2.2.8

· Argo CD 2.3.3

【安全版本】

· Argo CD 2.1.15

· Argo CD 2.2.9

· Argo CD 2.3.4

7691e71b179bc51a840e3c7e8e332f43.png 

Argo CD是用于Kubernetes的声明式GitOps持续交付工具。

 


7*24小时技术支持
HKBGP
海外CN2服务器(客服1)
HKBGP
Telegram ⁣⁣⁣⁣ ⁣⁣⁣⁣ ⁣⁣⁣⁣ ⁣⁣⁣⁣ ⁣⁣⁣⁣ 【客服】
7*24小时技术支持
HKBGP
TG官方群组
HKBGP
Telegram ⁣⁣⁣⁣ ⁣⁣⁣⁣ ⁣⁣⁣⁣ ⁣⁣⁣⁣ ⁣⁣⁣⁣ 【群组】
HKBGP