Podatność CVE-2018-21034


Publikacja: 2020-04-09

Opis:
In Argo versions prior to v1.5.0-rc1, it was possible for authenticated Argo users to submit API calls to retrieve secrets and other manifests which were stored within git.

Typ:

CWE-200

(Information Exposure)

CVSS2 => (AV:N/AC:L/Au:S/C:P/I:N/A:N)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
4/10
2.9/10
8/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Zdalny
Niska
Jednorazowa
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Częściowy
Brak
Brak
Affected software
Linuxfoundation -> Argo continuous delivery 
CNCF -> Argo continuous delivery 

 Referencje:
https://github.com/argoproj/argo-cd/blob/a1afe44066fcd0a0ab90a02a23177164bbad42cf/util/diff/diff.go#L399
https://github.com/argoproj/argo-cd/issues/470
https://github.com/argoproj/argo-cd/pull/3088
https://www.soluble.ai/blog/argo-cves-2020

Copyright 2024, cxsecurity.com

 

Back to Top