CVE-2021-23135 – Argo CD leaked secret data into error messages and logs on invalid edits via UI
https://notcve.org/view.php?id=CVE-2021-23135
Exposure of System Data to an Unauthorized Control Sphere vulnerability in web UI of Argo CD allows attacker to cause leaked secret data into web UI error messages and logs. This issue affects Argo CD 1.8 versions prior to 1.8.7; 1.7 versions prior to 1.7.14. Una exposición de los Datos del Sistema en una vulnerabilidad de Esfera de Control No Autorizada en la Interfaz de Usuario web de Argo CD permite a un atacante causar una filtración de datos secretos en unos registros y mensajes de error de la Interfaz de Usuario web. Este problema afecta a Argo CD versiones 1.8 anteriores a 1.8.7; versiones 1.7 anteriores a 1.7.14 • https://github.com/argoproj/argo-cd/security/advisories/GHSA-fp89-h8pj-8894 • CWE-209: Generation of Error Message Containing Sensitive Information CWE-497: Exposure of Sensitive System Information to an Unauthorized Control Sphere •
CVE-2021-23347 – Cross-site Scripting (XSS)
https://notcve.org/view.php?id=CVE-2021-23347
The package github.com/argoproj/argo-cd/cmd before 1.7.13, from 1.8.0 and before 1.8.6 are vulnerable to Cross-site Scripting (XSS) the SSO provider connected to Argo CD would have to send back a malicious error message containing JavaScript to the user. El paquete github.com/argoproj/argo-cd/cmd versiones anteriores a 1.7.13, versiones desde 1.8.0 y anteriores a 1.8.6, son vulnerables a un ataque de tipo Cross-site Scripting (XSS), el proveedor de SSO conectado a Argo CD tendría que devolver un mensaje de error malicioso que contiene JavaScript para el usuario • https://github.com/argoproj/argo-cd/pull/5563 https://snyk.io/vuln/SNYK-GOLANG-GITHUBCOMARGOPROJARGOCDCMD-1078291 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2021-26921
https://notcve.org/view.php?id=CVE-2021-26921
In util/session/sessionmanager.go in Argo CD before 1.8.4, tokens continue to work even when the user account is disabled. En el archivo util/session/sessionmanager.go en Argo CD versiones anteriores a 1.8.4, los tokens continúan funcionando inclusive cuando la cuenta de usuario está deshabilitada • https://github.com/argoproj/argo-cd/commit/f5b0db240b4e3abf18e97f6fd99096b4f9e94dc5 https://github.com/argoproj/argo-cd/compare/v1.8.3...v1.8.4 https://github.com/argoproj/argo-cd/security/advisories/GHSA-9h6w-j7w4-jr52 • CWE-613: Insufficient Session Expiration •