Уязвимость интерфейса декларативного инструмента непрерывной доставки GitOps для Kubernetes Argo CD связана с раскрытием информации через регистрационные файлы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации
Использование рекомендаций:
https://github.com/argoproj/argo-cd/pull/12320
https://github.com/argoproj/argo-cd/security/advisories/GHSA-mv6w-j4xc-qpfw
https://github.com/golang/vulndb/issues/1548
https://github.com/argoproj/argo-cd/issues/12309
Компенсирующие меры:
1. Обеспечить минимальные привилегии, применив политику на основе ролей (Role Based Access Control, RBAC), чтобы у пользователей для выполнения действий: «repositories, update», «applications, update» или «applications, create» был доступ только в случае крайней необходимости.
2. Настроить принудительную проверку подписи объекта фиксации (инструкция: https://argo-cd.readthedocs.io/en/stable/user-guide/gpg-verification/#enforcing-signature-verification)
| Балл | 5.4 — средняя опасность |