CVE-2023-23947— ArgoCD 安全漏洞

CVSS 9.1 · Critical EPSS 0.35% · P58 更新日 2025-03-11

新しい脆弱性情報の通知を購読するログインして購読

I. CVE-2023-23947の基本情報

脆弱性情報

脆弱性についてご質問がありますか？Shenlongの分析が参考になるかご確認ください！

Shenlongの10の質問を表示 ↗

高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。

脆弱性タイトル

Argo CD users with any cluster secret update access may update out-of-bounds cluster secrets

ソース: NVD (National Vulnerability Database)

脆弱性説明

Argo CD is a declarative, GitOps continuous delivery tool for Kubernetes. All Argo CD versions starting with 2.3.0-rc1 and prior to 2.3.17, 2.4.23 2.5.11, and 2.6.2 are vulnerable to an improper authorization bug which allows users who have the ability to update at least one cluster secret to update any cluster secret. The attacker could use this access to escalate privileges (potentially controlling Kubernetes resources) or to break Argo CD functionality (by preventing connections to external clusters). A patch for this vulnerability has been released in Argo CD versions 2.6.2, 2.5.11, 2.4.23, and 2.3.17. Two workarounds are available. Either modify the RBAC configuration to completely revoke all `clusters, update` access, or use the `destinations` and `clusterResourceWhitelist` fields to apply similar restrictions as the `namespaces` and `clusterResources` fields.

ソース: NVD (National Vulnerability Database)

CVSS情報

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

ソース: NVD (National Vulnerability Database)

脆弱性タイプ

授权机制不正确

ソース: NVD (National Vulnerability Database)

脆弱性タイトル

ArgoCD 安全漏洞

ソース: CNNVD (China National Vulnerability Database)

脆弱性説明

ArgoCD是一个应用软件。用于Kubernetes的声明性GitOps连续交付工具。它持续监控正在运行的应用程序并将当前的实时状态与所需的目标状态（例如 Git 仓库中的配置）进行比较，在 Git 仓库更改时自动同步和部署应用程序。 ArgoCD 存在安全漏洞，该漏洞源于存在不当授权漏洞，攻击者利用该漏洞可以提升权限。

ソース: CNNVD (China National Vulnerability Database)

CVSS情報

N/A

ソース: CNNVD (China National Vulnerability Database)

脆弱性タイプ

N/A

ソース: CNNVD (China National Vulnerability Database)

影響を受ける製品

ベンダー	プロダクト	影響を受けるバージョン	CPE	購読
argoproj	argo-cd	>= 2.3.0-rc1, < 2.3.17	-

II. CVE-2023-23947の公開POC

#	POC説明	ソースリンク	Shenlongリンク

AI生成POCプレミアム

公開POCは見つかりませんでした。

ログインしてAI POCを生成

III. CVE-2023-23947のインテリジェンス情報

请登录查看更多情报信息。

https://github.com/argoproj/argo-cd/security/advisories/GHSA-3jfq-742w-xg8jx_refsource_CONFIRM
https://github.com/argoproj/argo-cd/commit/fbb0b99b1ac3361b253052bd30259fa43a520945x_refsource_MISC
https://nvd.nist.gov/vuln/detail/CVE-2023-23947

IV. 関連脆弱性

同じ製品: argo-cd

同じベンダー: argoproj

同じ弱点: CWE-863

V. CVE-2023-23947へのコメント

まだコメントはありません

目標達成すべての支援者に感謝 — 100%達成しました！

CVE-2023-23947— ArgoCD 安全漏洞

I. CVE-2023-23947の基本情報

脆弱性情報

脆弱性タイトル

脆弱性説明

CVSS情報

脆弱性タイプ

脆弱性タイトル

脆弱性説明

CVSS情報

脆弱性タイプ

影響を受ける製品

II. CVE-2023-23947の公開POC

III. CVE-2023-23947のインテリジェンス情報

IV. 関連脆弱性

V. CVE-2023-23947へのコメント

コメントを残す

目標達成 すべての支援者に感謝 — 100%達成しました！

CVE-2023-23947— ArgoCD 安全漏洞

I. CVE-2023-23947の基本情報

脆弱性情報

脆弱性タイトル

脆弱性説明

CVSS情報

脆弱性タイプ

脆弱性タイトル

脆弱性説明

CVSS情報

脆弱性タイプ

影響を受ける製品

II. CVE-2023-23947の公開POC

III. CVE-2023-23947のインテリジェンス情報

IV. 関連脆弱性

V. CVE-2023-23947へのコメント

コメントを残す

目標達成すべての支援者に感謝 — 100%達成しました！