Informazioni sul CVE-2024-40634
Argo CD Unauthenticated Denial of Service (DoS) Vulnerability via /api/webhook Endpoint
CWE ID: CWE-400
Base Score (CVSS): N/A
CVE: CVE-2024-40634
Descrizione: Argo CD è uno strumento di distribuzione continua in GitOps per Kubernetes, un tool dichiarativo per la consegna continua. Questo rapporto descrive una vulnerabilità di sicurezza in Argo CD, dove un attaccante non autenticato può inviare un payload JSON specialmente elaborato a un endpoint /api/webhook, causando un’allocazione di memoria eccessiva che porta alla disattivazione del servizio a causa di un trigger di Out Of Memory (OOM) kill. La vulnerabilità presenta un alto rischio per la disponibilità delle implementazioni Argo CD. Questa vulnerabilità è stata corretta in 2.11.6, 2.10.15 e 2.9.20.
Vettore di attacco CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: None, Interazione utente: None, Confidenzialità: None, Integrità: None, Disponibilità: High.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | N | None | Non sono richiesti privilegi. |
| User Interaction (UI) | N | None | Non è richiesta interazione dell’utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | N | None | Nessun impatto sulla riservatezza. |
| Integrity Impact (I) | N | None | Nessun impatto sull’integrità. |
| Availability Impact (A) | H | High | Rende il sistema inutilizzabile. |
Riferimenti esterni
- https://github.com/argoproj/argo-cd/security/advisories/GHSA-jmvp-698c-4x3w
- https://github.com/argoproj/argo-cd/commit/46c0c0b64deaab1ece70cb701030b76668ad0cdc
- https://github.com/argoproj/argo-cd/commit/540e3a57b90eb3655db54793332fac86bcc38b36
- https://github.com/argoproj/argo-cd/commit/d881ee78949e23160a0b280bb159e4d3d625a4df
Prodotti interessati
- argoproj – argo-cd
Relazioni con altri prodotti
Produttore:argoproj
Prodotto: argo-cd
Anno: 2024
CWE: CWE-400
CVSS: 0.0