ГлавнаяБаза уязвимостей БДУ → BDU:2024-02193
7.8высокая

BDU:2024-02193 (CVE-2020-8827)

Уязвимость механизма кэширования декларативного инструмента непрерывной доставки GitOps для Kubernetes Argo CD, позволяющая нарушителю обойти ограничения безопасности и реализовать атаку методом «грубой силы» (brute force)
Опубликовано: 2024-03-22
Описание

Уязвимость механизма кэширования декларативного инструмента непрерывной доставки GitOps для Kubernetes Argo CD связана с отсутствием ограничений попыток аутентификации при обработке параметра defaultMaxCacheSize. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти ограничения безопасности и реализовать атаку методом «грубой силы» (brute force)

Затрагиваемое ПО и версии
Argo CD (до 2.8.13)Argo CD (от 2.9.0 до 2.9.9)Argo CD (от 2.10.0 до 2.10.4)
Способ устранения

Использование рекомендаций:
https://argo-cd.readthedocs.io/en/stable/security_considerations/#cve-2020-8827-insufficient-anti-automationanti-brute-force
https://github.com/argoproj/argo-cd/commit/17b0df1168a4c535f6f37e95f25ed7cd81e1fa4d
https://github.com/argoproj/argo-cd/commit/6e181d72b31522f886a2afa029d5b26d7912ec7b
https://github.com/argoproj/argo-cd/commit/cebb6538f7944c87ca2fecb5d17f8baacc431456
https://github.com/argoproj/argo-cd/releases

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://argo-cd.readthedocs.io/en/stable/security_considerations/#cve-2020-8827-insufficient-anti-automationanti-brute-forcehttps://github.com/argoproj/argo-cd/commit/17b0df1168a4c535f6f37e95f25ed7cd81e1fa4dhttps://github.com/argoproj/argo-cd/commit/6e181d72b31522f886a2afa029d5b26d7912ec7bhttps://github.com/argoproj/argo-cd/commit/cebb6538f7944c87ca2fecb5d17f8baacc431456https://github.com/argoproj/argo-cd/security/advisories/GHSA-2vgg-9h6w-m454
Проверьте безопасность своего сайта и почты → Полная проверка домена