Argo CD漏洞暴露Kubernetes敏感信息
发布时间:2022-03-17 14:39 所属栏目:53 来源:互联网
导读:Argo CD漏洞可以从Kubernetes APP泄露敏感信息。 Argo CD是一个主流的、开源、持续交付(Continuous Delivery)平台,被广泛应用于Kubernetes的声明性GitOps连续交付。 Apiiro安全研究人员在Argo CD平台中发现了一个0 day漏洞,漏洞CVE变化为CVE-2022-24348,C
|
Argo CD漏洞可以从Kubernetes APP泄露敏感信息。 Argo CD是一个主流的、开源、持续交付(Continuous Delivery)平台,被广泛应用于Kubernetes的声明性GitOps连续交付。 Apiiro安全研究人员在Argo CD平台中发现了一个0 day漏洞,漏洞CVE变化为CVE-2022-24348,CVSS 评分为7.7分。该漏洞是一个路径遍历漏洞,攻击者利用该漏洞可以实现权限提升、信息泄露和进一步攻击。 动态更新云配置。 Helm Chart是一个可以嵌入不同域来构造部署应用所需的资源和配置的YAML文件。  有漏洞的应用中包含许多类型的数据,其中一个包含文件名和其他文件的自包含应用部分的相对路径。文件保存在特定的服务器或名为argocd-reposerver的pod中。由于没有文件等级的强隔离,所以文件路径遍历机制是文件安全的关键。该机制的内在原理位于util/security/path_traversal.go 中源代码的单个文件。 成功攻击的先决条件是有权限创建或更新应用,已知或猜测含有有效YAML文件的路径。满足这些需求就可以创建恶意Helm graph,并把YAML作为值文件,最终可以获取原先不可访问的数据的权限。 (编辑:ASP站长网) |
相关内容
Redis未授权检测漏洞G
严峻Web对抗环境下的W
遭黑客盗走AMD GPU 部
企业级信息防泄漏大方网友评论
推荐文章
热点阅读
