Argo CD 授权错误漏洞（CVE-2023-23947）的风险通告

Argo CD 授权错误漏洞（CVE-2023-23947）的风险通告
2023-2-18 15:1:7 Author: 赛博昆仑CERT(查看原文) 阅读量:14 收藏

-赛博昆仑漏洞安全通告-

Argo CD 授权错误漏洞的风险通告

（CVE-2023-23947）

漏洞描述

Argo CD 是以 Kubernetes 作为基础设施，遵循声明式 GitOps 理念的持续交付（continuous delivery, CD）工具，支持多种配置管理工具，包括 ksonnet/jsonnet、kustomize 和 Helm 等。它的配置和使用非常简单，并且自带一个简单易用的可视化界面。

近日，赛博昆仑CERT监测到Argo CD官方发布了安全通告，披露了Argo CD的授权错误漏洞，该漏洞允许能够更新任意至少一个集群Secret的用户更新其他任意集群的Secret，攻击者可利用此漏洞提升权限或破坏Argo CD的功能。

漏洞名称	ArgoCD授权错误漏洞
漏洞公开编号	CVE-2023-23947
昆仑漏洞库编号	CYKL-2023-001469
漏洞类型	授权错误	公开时间	2023-02-17
漏洞等级	高危	CVSS评分	9.1
漏洞描述	Argo CD中存在授权错误漏洞。当允许攻击者更新至少一个集群的Secret时，攻击者可以更改其他任意集群的Secret。攻击者可利用此漏洞提升权限或破坏Argo CD的功能。
影响版本	Argo CD v2.3.x <= 2.3.16 Argo CD v2.4.x <= 2.4.22 Argo CD v2.5.x <= 2.5.10 Argo CD v2.6.x <= 2.6.1
PoC状态	未知	EXP状态	未知
在野利用	未知	技术细节	未知

修复建议

目前，官方已发布修复建议，建议受影响的用户尽快升级至安全版本。

Argo CD v2.6.2

Argo CD v2.5.11

Argo CD v2.4.23

Argo CD v2.3.17

下载地址：

https://github.com/argoproj/argo-cd/releases

技术咨询

赛博昆仑支持对用户提供轻量级的检测规则或热补方式，可提供定制化服务适配多种产品及规则，帮助用户进行漏洞检测和修复。

参考链接

https://github.com/argoproj/argo-cd/security/advisories/GHSA-3jfq-742w-xg8j

时间线

2023年2月17日，Argo CD官方发布安全通告
2023年2月17日，赛博昆仑CERT向邮件订阅客户发布安全风险通告
2023年2月18日，赛博昆仑CERT发布安全风险通告

技术业务咨询

邮箱：[email protected]

文章来源: http://mp.weixin.qq.com/s?__biz=MzkxMDQyMTIzMA==&mid=2247483904&idx=1&sn=869044fa28b50bb25e4ec8e62504cf11&chksm=c12aff81f65d7697980bb8308a9c7b541c0c2de79401afa1ede52e503734553a1e387d3d93bd#rd
如有侵权请联系:admin#unsafe.sh