Informazioni sul CVE-2024-22424
Cross-Site Request Forgery (CSRF) in github.com/argoproj/argo-cd
CWE ID: CWE-352
Base Score (CVSS): N/A
CVE: CVE-2024-22424
Descrizione: Argo CD is a GitOps continuous delivery tool for Kubernetes. Prior to versions 2.10-rc2, 2.9.4, 2.8.8, and 2.7.15, the API is vulnerable to a cross-server request forgery (CSRF) attack when an attacker can write HTML to a page on the same parent domain as Argo CD. This attack exploits authenticated Argo CD users to load a web page containing code to call Argo CD API endpoints on the victim’s behalf. The “Lax” SameSite cookie policy is used to prevent this attack, where the attacker controls an external domain. The malicious external website can attempt to call Argo CD API, but the browser will refuse to send the Argo CD auth token with the request. Browser security measures, including CORS policies, are often employed to block such attacks. CORS policies require a “preflight request” for POST requests with content types like “application/json” to the destination API, asking if it’s allowed to accept requests from the origin. If the API doesn’t respond with “yes,” the browser blocks the request. Before the patches, Argo CD didn’t validate request content types, allowing attackers to bypass CORS checks by setting the content type to less sensitive values. The Argo CD API has been patched in versions 2.10-rc2, 2.9.4, 2.8.8, and 2.7.15. This patch introduces a breaking API change, specifically preventing non-GET requests without the `application/json` Content-Type. The accepted content types are configurable, and disabling the content type check is discouraged. Users are advised to upgrade.
Vettore di attacco CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: None, Interazione utente: Required, Confidenzialità: High, Integrità: High, Disponibilità: High.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | H | High | L’attacco richiede condizioni particolari o avanzate. |
| Privileges Required (PR) | N | None | Non sono richiesti privilegi. |
| User Interaction (UI) | R | Required | È richiesta l’interazione di un utente. |
| Scope (S) | C | Changed | La vulnerabilità impatta su componenti esterni. |
| Confidentiality Impact (C) | H | High | Grave impatto sulla riservatezza. |
| Integrity Impact (I) | H | High | Grave impatto sull’integrità. |
| Availability Impact (A) | H | High | Rende il sistema inutilizzabile. |
Riferimenti esterni
- https://github.com/argoproj/argo-cd/security/advisories/GHSA-92mw-q256-5vwg
- https://github.com/argoproj/argo-cd/issues/2496
- https://github.com/argoproj/argo-cd/pull/16860
Prodotti interessati
- argoproj – argo-cd
Relazioni con altri prodotti
Produttore:argoproj
Prodotto: argo-cd
Anno: 2024
CWE: CWE-352
CVSS: 0.0