Argo CD 容易利用缓存溢出绕过速率限制和暴力保护 (CVE-2024-21662)
CVE编号
CVE-2024-21662利用情况
暂无补丁情况
N/A披露时间
2024-03-19漏洞描述
Argo CD是一个声明式的、GitOps风格的用于Kubernetes的持续交付工具。在版本2.8.13、2.9.9和2.10.4之前,攻击者可以通过利用应用程序的弱缓存机制有效地绕过速率限制和暴力破解保护。这个安全漏洞可以与其他漏洞结合起来攻击默认管理员账号。这个漏洞破坏了CVE-2020-8827的补丁,该补丁旨在防止暴力破解攻击。该应用程序的暴力破解保护依赖于一个缓存机制,用于跟踪每个用户的登录尝试。这个缓存被限制为`defaultMaxCacheSize` 1000个条目。攻击者可以通过向不同用户发送大量登录尝试来溢出该缓存,从而推出管理员账号的失败尝试,并有效地重置该账户的速率限制。这是一个严重的漏洞,使攻击者能够以加速的速度执行暴力破解攻击,特别是针对默认管理员账号。用户应升级到版本2.8.13、2.9.9或2.10.4以获取补丁。解决建议
"将组件 github.com/argoproj/argo-cd 升级至 2.10.4 及以上版本""将组件 github.com/argoproj/argo-cd 升级至 2.8.13 及以上版本""将组件 github.com/argoproj/argo-cd 升级至 2.9.9 及以上版本"- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 未更改
- 用户交互 无
- 可用性 无
- 保密性 无
- 完整性 高
CWE-ID | 漏洞类型 |
Exp相关链接

版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论