1. 墨知首页
  2. 漏洞

Argo CD 存在 CSRF 漏洞 (CVE-2024-28175)

漏洞
漏洞类型 CSRF 发现时间 2024-03-14 漏洞等级 严重
MPS编号 MPS-foxv-68g9 CVE编号 CVE-2024-28175 漏洞影响广度 广
目录 隐藏
1 漏洞危害
2 影响范围及处置方案
2.1 OSCS 平台影响范围和处置方案
3 排查方式

漏洞危害

OSCS 描述
Argo CD 是一个声明式的 GitOps 持续交付工具,用于在 Kubernetes 环境中进行应用程序的持续交付和部署管理。
受影响版本中,由于未对 argocd.argoproj.io 注释中的URL协议正确过滤,具有 ArgoCD 管理资源的写入权限的攻击者可在 UI 中注入 javascript: 链接。当受害用户点击时,脚本将以受害者的权限(包括管理员权限)执行,进而执行创建API、修改和删除 Kubernetes 资源等操作。
参考链接:https://www.oscs1024.com/hd/MPS-foxv-68g9

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
argo-cd [1.0, 2.10.3) 升级 将 argo-cd 升级至 2.10.3 及以上版本
argo-cd [2.9.7, 2.9.8) 升级 将 argo-cd 升级至 2.9.8 及以上版本
argo-cd [2.8.11, 2.8.12) 升级 将 argo-cd 升级至 2.8.12 及以上版本
github.com/argoproj/argo-cd/v2 [1.0, 2.10.3) 升级 将 github.com/argoproj/argo-cd/v2 升级至 2.10.3 及以上版本
缓解措施 使用 RBAC 限制用户对 Kubernetes 资源清单的写入权限
github.com/argoproj/argo-cd/v2 [2.9.7, 2.9.8) 升级 将 github.com/argoproj/argo-cd/v2 升级至 2.9.8 及以上版本
github.com/argoproj/argo-cd/v2 [2.8.11, 2.8.12) 升级 将组件 github.com/argoproj/argo-cd/v2 升级至 2.8.12 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-foxv-68g9

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-foxv-68g9

https://nvd.nist.gov/vuln/detail/CVE-2024-28175

https://github.com/argoproj/argo-cd/commit/479b5544b57dc9ef767d49f7003f39602c480b71

https://github.com/argoproj/argo-cd/security/advisories/GHSA-jwv5-8mqv-g387

(0)
上一篇 2024年3月15日 下午4:00
下一篇 2024年3月16日 下午2:00

相关推荐

  • Coremail 远程命令执行漏洞 (MPS-mw17-2f3h) 漏洞

    Coremail 远程命令执行漏洞 (MPS-mw17-2f3h)

    漏洞类型 命令注入 发现时间 2023-08-21 漏洞等级 严重 MPS编号 MPS-mw17-2f3h CVE编号 – 漏洞影响广度 一般 漏洞危害 OSCS 描述 Coremail是广东盈世计算机科技有限公司推出的一款大型企业邮件系统。在 Coremail XT5/XT6 版本中,邮件处理功能存在溢出风险,攻击者构造恶意邮件,向任意邮箱地址…

    2023年8月22日
    0
  • Linux libblockdev 本地提权漏洞 (CVE-2025-6019) 漏洞

    Linux libblockdev 本地提权漏洞 (CVE-2025-6019)

    漏洞类型 权限管理不当 发现时间 2025-06-19 漏洞等级 高危 MPS编号 MPS-mqf0-usbi CVE编号 CVE-2025-6019 漏洞影响广度 漏洞危害 OSCS 描述 libblockdev 是 Linux 上用于块设备管理的底层库,提供统一接口支持分区、文件系统、LVM 和加密等操作。udisks 是基于 D-Bus 的服务,封装调…

    1天前
    0
  • OpenZFS 安全机制失效漏洞 (CVE-2023-49298) 漏洞

    OpenZFS 安全机制失效漏洞 (CVE-2023-49298)

    漏洞类型 输入验证不恰当 发现时间 2023-11-25 漏洞等级 中危 MPS编号 MPS-70jg-txe3 CVE编号 CVE-2023-49298 漏洞影响广度 一般 漏洞危害 OSCS 描述 OpenZFS 是一种高级文件系统和卷管理器 OpenZFS 受影响版本中存在安全机制失效漏洞,涉及使用依赖高效复制文件数据的应用程序时,可能会用零值字节替换…

    2023年11月27日
    0
  • curl&libcurl高危漏洞CVE-2023-38545即将公开,如何应对? 漏洞

    curl&libcurl高危漏洞CVE-2023-38545即将公开,如何应对?

    背景 Curl是从1998年开始开发的开源网络请求命令行工具,其中包含的libcurl也被作为组件广泛用于应用的HTTP请求。 10月4日,curl项目的作者bagder(Daniel Stenberg)在GitHub中预告将于10月11日发布 8.4.0 版本,并公开两个漏洞:CVE-2023-38545和CVE-2023-38546。其中 CVE-202…

    2023年10月10日
    0
  • Microsoft Exchange Server 远程代码执行漏洞 (CVE-2023-36439) 漏洞

    Microsoft Exchange Server 远程代码执行漏洞 (CVE-2023-36439)

    漏洞类型 代码注入 发现时间 2023-11-15 漏洞等级 高危 MPS编号 MPS-z7l2-u3tm CVE编号 CVE-2023-36439 漏洞影响广度 广 漏洞危害 OSCS 描述 Microsoft Exchange Server 是微软公司开发的一款邮件服务器。 Microsoft Exchange Server 受影响版本中,具有普通用户权…

    2023年11月16日
    0