CVE-2023-25163 in argocdinformazioni

Riassunto

di VulDB • 17/06/2026

Argo CD è uno strumento di delivery continuo basato su GitOps e approccio dichiarativo per Kubernetes. Tutte le versioni di Argo CD a partire dalla v2.6.0-rc1 presentano un bug di sanitizzazione dell'output che causa la fuoriuscita delle credenziali di accesso al repository nei messaggi di errore. Questi messaggi di errore sono visibili all'utente e vengono registrati nei log. Il messaggio di errore appare quando un utente tenta di creare o aggiornare un'applicazione tramite l'API di Argo CD (e quindi anche tramite l'interfaccia utente o la CLI). L'utente deve disporre delle autorizzazioni RBAC `applications, create` o `applications, update` per raggiungere il codice che potrebbe generare l'errore. Non è garantito che l'utente sia in grado di innescare il messaggio di errore. Potrebbe tentare di sovraccaricare l'API con richieste per generare un errore di rate limit dal repository upstream. Se l'utente dispone dell'accesso `repositories, update`, potrebbe modificare un repository esistente per introdurre un errore di battitura nell'URL o forzare altrimenti la generazione di un messaggio di errore. Tuttavia, se l'utente ha tale livello di accesso, probabilmente ha già intenzionalmente accesso alle credenziali. Una patch per questa vulnerabilità è stata rilasciata nella versione 2.6.1. Si consiglia agli utenti di effettuare l'aggiornamento. Non sono note workaround per questa vulnerabilità.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsabile

GitHub, Inc.

Prenotare

03/02/2023

Divulgazione

08/02/2023

Moderazione

accettato

CPE

pronto

EPSS

0.00843

KEV

no

Attività

molto basso

Fonti

Might our Artificial Intelligence support you?

Check our Alexa App!