CVE

Vulnerabilidad en Argo CD (CVE-2024-40634)

Severidad:

ALTA

Type:

CWE-400 Consumo de recursos no controlado (Agotamiento de recursos)

Fecha de publicación:

22/07/2024

Última modificación:

24/07/2024

Descripción

Argo CD es una herramienta declarativa de entrega continua de GitOps para Kubernetes. Este informe detalla una vulnerabilidad de seguridad en Argo CD, donde un atacante no autenticado puede enviar un gran payload JSON especialmente manipulado al endpoint /api/webhook, lo que provoca una asignación excesiva de memoria que conduce a la interrupción del servicio al desencadenar un Out Of Memory (OOM) kill. El problema plantea un alto riesgo para la disponibilidad de las implementaciones de Argo CD. Esta vulnerabilidad se solucionó en 2.11.6, 2.10.15 y 2.9.20.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

7.50

Severidad 3.x

ALTA

Vulnerabilidad en Argo CD (CVE-2024-40634)

Descripción

Impacto

Referencias a soluciones, herramientas e información