ГлавнаяБаза уязвимостей БДУ → BDU:2023-00763
5.4средняя

BDU:2023-00763 (CVE-2023-25163)

Уязвимость интерфейса декларативного инструмента непрерывной доставки GitOps для Kubernetes Argo CD, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
Опубликовано: 2023-02-17
Описание

Уязвимость интерфейса декларативного инструмента непрерывной доставки GitOps для Kubernetes Argo CD связана с раскрытием информации через регистрационные файлы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации

Затрагиваемое ПО и версии
Argo CD (от 2.6.0-rc1 до 2.6.1)
Способ устранения

Использование рекомендаций:
https://github.com/argoproj/argo-cd/pull/12320
https://github.com/argoproj/argo-cd/security/advisories/GHSA-mv6w-j4xc-qpfw
https://github.com/golang/vulndb/issues/1548
https://github.com/argoproj/argo-cd/issues/12309

Компенсирующие меры:
1. Обеспечить минимальные привилегии, применив политику на основе ролей (Role Based Access Control, RBAC), чтобы у пользователей для выполнения действий: «repositories, update», «applications, update» или «applications, create» был доступ только в случае крайней необходимости.
2. Настроить принудительную проверку подписи объекта фиксации (инструкция: https://argo-cd.readthedocs.io/en/stable/user-guide/gpg-verification/#enforcing-signature-verification)

Оценка CVSS
Балл5.4 — средняя опасность
Источники и патчи
https://argo-cd.readthedocs.io/en/stable/operator-manual/rbac/https://github.com/argoproj/argo-cd/issues/12309https://github.com/argoproj/argo-cd/pull/12320https://github.com/argoproj/argo-cd/security/advisories/GHSA-mv6w-j4xc-qpfwhttps://nvd.nist.gov/vuln/detail/CVE-2023-25163https://vuldb.com/ru/?id.220463https://github.com/golang/vulndb/issues/1548
Проверьте безопасность своего сайта и почты → Полная проверка домена