CRITICAL🇬🇧 English

CVE-2024-21652

Argo CD: Ominięcie ochrony przed brute force logowania

CVSS 9.8v3.1pub. 2024-03-18upd. 2025-01-09

Podatność w Argo CD umożliwia atakującemu ominięcie mechanizmu ochrony przed atakami brute force na logowanie poprzez wykorzystanie łańcucha luk, w tym błędu DoS i słabości przechowywania danych w pamięci. Jest to krytyczne zagrożenie, gdyż naraża konta użytkowników na nieograniczoną liczbę prób logowania oraz umożliwia wyłączenie usługi dla wszystkich użytkowników.

Pokaż oryginał (EN)

Argo CD is a declarative, GitOps continuous delivery tool for Kubernetes. Prior to versions 2.8.13, 2.9.9, and 2.10.4, an attacker can exploit a chain of vulnerabilities, including a Denial of Service (DoS) flaw and in-memory data storage weakness, to effectively bypass the application's brute force login protection. This is a critical security vulnerability that allows attackers to bypass the brute force login protection mechanism. Not only can they crash the service affecting all users, but they can also make unlimited login attempts, increasing the risk of account compromise. Versions 2.8.13, 2.9.9, and 2.10.4 contain a patch for this issue.

🤖 Analiza AI
Jak działa

Atakujący wykorzystuje łańcuch podatności: najpierw wywołuje błąd Denial of Service, który powoduje awarię usługi i utratę danych przechowywanych tymczasowo w pamięci operacyjnej (in-memory). Utrata tych danych skutkuje zresetowaniem liczników prób logowania, przez co mechanizm ochrony przed brute force przestaje działać. Po ponownym uruchomieniu usługi atakujący może wykonywać nieograniczoną liczbę prób logowania bez ryzyka zablokowania konta.

Skutki

Atakujący może przejąć kontrolę nad kontami użytkowników poprzez nieograniczone ataki brute force na dane uwierzytelniające oraz spowodować niedostępność usługi Argo CD dla wszystkich użytkowników.

Mitygacja

Należy zaktualizować Argo CD do wersji 2.8.13, 2.9.9 lub 2.10.4, w których zostały wydane poprawki dla tej podatności.

Kogo dotyczy

Argo CD w wersjach wcześniejszych niż 2.8.13, 2.9.9 oraz 2.10.4

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Argoproj Argo Cd

    APP
    Argoproj
    < 2.8.132.9.0 – 2.9.9 (bez)2.10.0 – 2.10.4 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
DoSContainer
CWE
Referencje

Powiązane podatności

CVE-2026-42880CRITICAL9.6PL ✓ten sam produkt

Argo CD: ujawnienie danych Secret Kubernetes przez endpoint ServerSideDiff

CVE-2025-55190CRITICAL9.9PL ✓ten sam produkt

Argo CD: nieuprawniony dostęp do poświadczeń repozytoriów przez API token

CVE-2025-47933CRITICAL9.0PL ✓ten sam produkt

XSS w Argo CD — wykonanie akcji w imieniu ofiary via API

CVE-2024-31989CRITICAL9.0PL ✓ten sam produkt

Argo CD: nieautoryzowany dostęp do Redis umożliwia privilege escalation

CVE-2024-28175CRITICAL9.0PL ✓ten sam produkt

Argo CD: XSS w adnotacjach linków umożliwia przejęcie uprawnień