CVE-2024-29893 in argo-cdinfo

Zusammenfassung

von VulDB • 14.05.2026

Argo CD ist ein deklaratives, GitOps-basiertes Continuous-Delivery-Tool für Kubernetes. Alle Versionen von ArgoCD ab v2.4 weisen einen Fehler auf, bei dem die ArgoCD-Komponente repo-server anfällig für einen Denial-of-Service-Angriffsvektor ist. Insbesondere ist es möglich, die repo-Server-Komponente durch einen Out-of-Memory-Fehler zum Absturz zu bringen, indem sie auf ein bösartiges Helm-Registry-System zeigt. Die Funktion loadRepoIndex() im ArgoCD-Helm-Paket begrenzt weder die Größe noch die Zeit beim Abrufen der Daten. Sie ruft die Daten ab und erstellt in einem Schritt einen Byte-Slice aus den abgerufenen Daten. Wenn die Registry so implementiert ist, dass sie kontinuierlich Daten sendet, wird der repo-Server weiterhin Speicher zuweisen, bis dieser erschöpft ist. Ein Patch für diese Schwachstelle wurde in den Versionen v2.10.3, v2.9.8 und v2.8.12 veröffentlicht.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Zuständig

GitHub, Inc.

Reservieren

21.03.2024

Veröffentlichung

29.03.2024

Moderieren

akzeptiert

Eintrag

VDB-258690

CPE

bereit

EPSS

0.00972

KEV

nein

Aktivitäten

very low

Quellen

Want to stay up to date on a daily basis?

Enable the mail alert feature now!