7*24小时技术支持
海外CN2服务器(客服1)
近日,网络应急团队监测到Argo CD发布的安全公告,修复了一个存在于Argo CD中的权限提升漏洞。当启用对Argo CD实例的匿名访问时(默认禁用),未经身份验证的用户可以通过在请求中发送特制的JSON Web Token(JWT)来冒充任何Argo CD用户或角色,包括管理员用户,无论该帐户是否被启用或存在于Argo CD实例上。成功利用此漏洞可以在集群上获得与Argo CD实例相同的权限,在默认安装中是集群管理员。这将能够创建、操纵和删除集群上的任何资源,或执行其它恶意操作。
【受影响版本】
· 1.4.0 <= Argo CD <= 2.1.14
· Argo CD 2.2.8
· Argo CD 2.3.3
【安全版本】
· Argo CD 2.1.15
· Argo CD 2.2.9
· Argo CD 2.3.4
Argo CD是用于Kubernetes的声明式GitOps持续交付工具。
Copyright 2009-2022 HKBGP Network
