Argo CD 容易利用缓存溢出绕过速率限制和暴力保护 (CVE-2024-21662)

admin 2024-03-19 14:07:13 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
Argo CD 容易利用缓存溢出绕过速率限制和暴力保护 (CVE-2024-21662)

CVE编号

CVE-2024-21662

利用情况

暂无

补丁情况

N/A

披露时间

2024-03-19
漏洞描述
Argo CD是一个声明式的、GitOps风格的用于Kubernetes的持续交付工具。在版本2.8.13、2.9.9和2.10.4之前,攻击者可以通过利用应用程序的弱缓存机制有效地绕过速率限制和暴力破解保护。这个安全漏洞可以与其他漏洞结合起来攻击默认管理员账号。这个漏洞破坏了CVE-2020-8827的补丁,该补丁旨在防止暴力破解攻击。该应用程序的暴力破解保护依赖于一个缓存机制,用于跟踪每个用户的登录尝试。这个缓存被限制为`defaultMaxCacheSize` 1000个条目。攻击者可以通过向不同用户发送大量登录尝试来溢出该缓存,从而推出管理员账号的失败尝试,并有效地重置该账户的速率限制。这是一个严重的漏洞,使攻击者能够以加速的速度执行暴力破解攻击,特别是针对默认管理员账号。用户应升级到版本2.8.13、2.9.9或2.10.4以获取补丁。
解决建议
"将组件 github.com/argoproj/argo-cd 升级至 2.10.4 及以上版本""将组件 github.com/argoproj/argo-cd 升级至 2.8.13 及以上版本""将组件 github.com/argoproj/argo-cd 升级至 2.9.9 及以上版本"
参考链接
https://argo-cd.readthedocs.io/en/stable/security_considerations/#cve-2020-88...
https://github.com/argoproj/argo-cd/commit/17b0df1168a4c535f6f37e95f25ed7cd81e1fa4d
https://github.com/argoproj/argo-cd/commit/6e181d72b31522f886a2afa029d5b26d7912ec7b
https://github.com/argoproj/argo-cd/commit/cebb6538f7944c87ca2fecb5d17f8baacc431456
https://github.com/argoproj/argo-cd/security/advisories/GHSA-2vgg-9h6w-m454
CVSS3评分 7.5
  • 攻击路径 网络
  • 攻击复杂度 低
  • 权限要求 无
  • 影响范围 未更改
  • 用户交互 无
  • 可用性 无
  • 保密性 无
  • 完整性 高
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
CWE-ID 漏洞类型
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
N/A Ali_nvd

N/A

N/ACVE编号 CVE-2024-9120利用情况 暂无补丁情况 N/A披露时间 2024-09-23漏洞描述Use after free in Dawn
评论:0   参与:  0