CVSS: 5.9EPSS: 0%CPEs: 2EXPL: 0CVE-2021-23135 – Argo CD leaked secret data into error messages and logs on invalid edits via UI
https://notcve.org/view.php?id=CVE-2021-23135
12 May 2021 — Exposure of System Data to an Unauthorized Control Sphere vulnerability in web UI of Argo CD allows attacker to cause leaked secret data into web UI error messages and logs. This issue affects Argo CD 1.8 versions prior to 1.8.7; 1.7 versions prior to 1.7.14. Una exposición de los Datos del Sistema en una vulnerabilidad de Esfera de Control No Autorizada en la Interfaz de Usuario web de Argo CD permite a un atacante causar una filtración de datos secretos en unos registros y mensajes de error de la Interfaz... • https://github.com/argoproj/argo-cd/security/advisories/GHSA-fp89-h8pj-8894 • CWE-209: Generation of Error Message Containing Sensitive Information CWE-497: Exposure of Sensitive System Information to an Unauthorized Control Sphere •
CVSS: 4.8EPSS: 0%CPEs: 2EXPL: 0CVE-2021-23347 – Cross-site Scripting (XSS)
https://notcve.org/view.php?id=CVE-2021-23347
03 Mar 2021 — The package github.com/argoproj/argo-cd/cmd before 1.7.13, from 1.8.0 and before 1.8.6 are vulnerable to Cross-site Scripting (XSS) the SSO provider connected to Argo CD would have to send back a malicious error message containing JavaScript to the user. El paquete github.com/argoproj/argo-cd/cmd versiones anteriores a 1.7.13, versiones desde 1.8.0 y anteriores a 1.8.6, son vulnerables a un ataque de tipo Cross-site Scripting (XSS), el proveedor de SSO conectado a Argo CD tendría que devolver un mensaje de ... • https://github.com/argoproj/argo-cd/pull/5563 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.5EPSS: 0%CPEs: 2EXPL: 0CVE-2021-26921
https://notcve.org/view.php?id=CVE-2021-26921
09 Feb 2021 — In util/session/sessionmanager.go in Argo CD before 1.8.4, tokens continue to work even when the user account is disabled. En el archivo util/session/sessionmanager.go en Argo CD versiones anteriores a 1.8.4, los tokens continúan funcionando inclusive cuando la cuenta de usuario está deshabilitada • https://github.com/argoproj/argo-cd/commit/f5b0db240b4e3abf18e97f6fd99096b4f9e94dc5 • CWE-613: Insufficient Session Expiration •