CVE-2022-29165 漏洞是由于argo-cd中信任无效的JSON Web 令牌 ,攻击者可以通过请求发送特制的 JSON Web 令牌 (JWT) 来绕过身份验证。利用此漏洞的前提是必须启用对 Argo CD 实例的匿名访问。
| 编号 | CVE-2022-29165 |
| 标题 | argo-cd身份验证绕过 |
| 描述 | argo-cd 是用于 Kubernetes 的声明式 GitOps 持续交付工具。argo-cd 的受影响版本很容易通过随请求一起发送特制的 JSON Web 令牌 (JWT) 来绕过身份验证,因为 ARGO-CD 将信任无效的 JWT。未经身份验证的攻击者可利用此漏洞,模拟任何 Argo CD 用户或角色,包括内置管理员帐户,无论该帐户是启用还是禁用。 |
| 漏洞级别 | 高危 |
| 影响组件 | argo-cd |
| 影响范围 | 一般 |
参考链接:
https://github.com/argoproj/argo-cd/security/advisories/GHSA-r642-gv9p-2wjj
https://github.com/argoproj/argo-cd
【使用墨菲安全的开源工具帮您快速检测代码安全】
墨菲安全旗下开源组件安全检测产品,为帮助每一个开发者更安全的使用开源代码,核心引擎已开源,欢迎广大开发者使用!
开源地址:https://github.com/murphysecurity/murphysec
IDE插件:欢迎在Jetbrains IDE插件市场搜索 “murphysec” 安装检测插件,一键检测一键修复~
墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,能力包括代码安全检测、开源组件许可证合规管理、云原生容器安全检测、软件成分分析(SCA)等,丰富的安全工具助您打造完备的软件开发安全能力(DevSecOps)。产品支持SaaS、私有化部署。公司核心团队来自百度、华为等企业,拥有超过十年的企业安全建设、安全产品研发及安全攻防经验。
【关于墨菲安全实验室】
墨菲安全实验室是墨菲未来科技旗下的安全研究团队,专注于软件供应链安全相关领域的技术研究,关注的方向包括:开源软件安全、程序分析、威胁情报分析、企业安全治理等。
