// For flags

CVE-2023-22736

argo-cd Controller reconciles apps outside configured namespaces when sharding is enabled

Severity Score

8.5
*CVSS v3.1

Exploit Likelihood

*EPSS

Affected Versions

*CPE

Public Exploits

0
*Multiple Sources

Exploited in Wild

-
*KEV

Decision

-
*SSVC
Descriptions

Argo CD is a declarative, GitOps continuous delivery tool for Kubernetes. Versions starting with 2.5.0-rc1 and above, prior to 2.5.8, and version 2.6.0-rc4, are vulnerable to an authorization bypass bug which allows a malicious Argo CD user to deploy Applications outside the configured allowed namespaces. Reconciled Application namespaces are specified as a comma-delimited list of glob patterns. When sharding is enabled on the Application controller, it does not enforce that list of patterns when reconciling Applications. For example, if Application namespaces are configured to be argocd-*, the Application controller may reconcile an Application installed in a namespace called other, even though it does not start with argocd-. Reconciliation of the out-of-bounds Application is only triggered when the Application is updated, so the attacker must be able to cause an update operation on the Application resource. This bug only applies to users who have explicitly enabled the "apps-in-any-namespace" feature by setting `application.namespaces` in the argocd-cmd-params-cm ConfigMap or otherwise setting the `--application-namespaces` flags on the Application controller and API server components. The apps-in-any-namespace feature is in beta as of this Security Advisory's publish date. The bug is also limited to Argo CD instances where sharding is enabled by increasing the `replicas` count for the Application controller. Finally, the AppProjects' `sourceNamespaces` field acts as a secondary check against this exploit. To cause reconciliation of an Application in an out-of-bounds namespace, an AppProject must be available which permits Applications in the out-of-bounds namespace. A patch for this vulnerability has been released in versions 2.5.8 and 2.6.0-rc5. As a workaround, running only one replica of the Application controller will prevent exploitation of this bug. Making sure all AppProjects' sourceNamespaces are restricted within the confines of the configured Application namespaces will also prevent exploitation of this bug.

Argo CD es una herramienta declarativa de entrega continua de GitOps para Kubernetes. Las versiones que comienzan con 2.5.0-rc1 y superiores, anteriores a 2.5.8 y la versión 2.6.0-rc4, son vulnerables a un error de omisión de autorización que permite a un usuario malintencionado de Argo CD implementar aplicaciones fuera de los espacios de nombres permitidos configurados. Los espacios de nombres de aplicaciones reconciliados se especifican como una lista de patrones globales delimitados por comas. Cuando la fragmentación está habilitada en el controlador de aplicaciones, no aplica esa lista de patrones al conciliar aplicaciones. Por ejemplo, si los espacios de nombres de las aplicaciones están configurados para ser argocd-*, el controlador de la aplicación puede conciliar una aplicación instalada en un espacio de nombres llamado other, aunque no comience con argocd-. La conciliación de la aplicación fuera de los límites solo se activa cuando la aplicación se actualiza, por lo que el atacante debe poder provocar una operación de actualización en el recurso de la aplicación. Este error solo se aplica a los usuarios que han habilitado explícitamente la función "aplicaciones en cualquier espacio de nombres" configurando `application.namespaces` en el ConfigMap argocd-cmd-params-cm o configurando de otro modo los indicadores `--application-namespaces` en los componentes del controlador de aplicaciones y del servidor API. La función de aplicaciones en cualquier espacio de nombres se encuentra en versión beta a partir de la fecha de publicación de este aviso de seguridad. El error también se limita a las instancias de Argo CD donde la fragmentación se habilita aumentando el recuento de "réplicas" para el controlador de la aplicación. Finalmente, el campo `sourceNamespaces` de AppProjects actúa como una verificación secundaria contra este exploit. Para provocar la conciliación de una aplicación en un espacio de nombres fuera de los límites, debe estar disponible un AppProject que permita aplicaciones en el espacio de nombres fuera de los límites. Se lanzó un parche para esta vulnerabilidad en las versiones 2.5.8 y 2.6.0-rc5. Como workaround, ejecutar solo una réplica del controlador de la aplicación evitará que se aproveche este error. Asegurarse de que todos los espacios de nombres de origen de AppProjects estén restringidos dentro de los límites de los espacios de nombres de aplicaciones configurados también evitará la explotación de este error.

A flaw was found in Red Hat GitOps, which is vulnerable to an authorization bypass in ArgoCD. This flaw allows users to deploy applications outside the allowed namespaces. The issue happens due to a logic error when interpreting the comma-separated namespaces list. To complete the attack, the attacker must have enough privileges to update deployed applications.

*Credits: N/A
CVSS Scores
Attack Vector
Network
Attack Complexity
High
Privileges Required
Low
User Interaction
None
Scope
Changed
Confidentiality
High
Integrity
High
Availability
High
* Common Vulnerability Scoring System
SSVC
  • Decision:-
Exploitation
-
Automatable
-
Tech. Impact
-
* Organization's Worst-case Scenario
Timeline
  • 2023-01-06 CVE Reserved
  • 2023-01-26 CVE Published
  • 2024-08-02 CVE Updated
  • 2024-08-18 EPSS Updated
  • ---------- Exploited in Wild
  • ---------- KEV Due Date
  • ---------- First Exploit
CWE
  • CWE-862: Missing Authorization
CAPEC
Affected Vendors, Products, and Versions
Vendor Product Version Other Status
Vendor Product Version Other Status <-- --> Vendor Product Version Other Status
Linuxfoundation
Search vendor "Linuxfoundation"
Argo-cd
Search vendor "Linuxfoundation" for product "Argo-cd"
>= 2.5.0 < 2.5.8
Search vendor "Linuxfoundation" for product "Argo-cd" and version " >= 2.5.0 < 2.5.8"
-
Affected
Linuxfoundation
Search vendor "Linuxfoundation"
Argo-cd
Search vendor "Linuxfoundation" for product "Argo-cd"
2.6.0
Search vendor "Linuxfoundation" for product "Argo-cd" and version "2.6.0"
rc1
Affected
Linuxfoundation
Search vendor "Linuxfoundation"
Argo-cd
Search vendor "Linuxfoundation" for product "Argo-cd"
2.6.0
Search vendor "Linuxfoundation" for product "Argo-cd" and version "2.6.0"
rc2
Affected
Linuxfoundation
Search vendor "Linuxfoundation"
Argo-cd
Search vendor "Linuxfoundation" for product "Argo-cd"
2.6.0
Search vendor "Linuxfoundation" for product "Argo-cd" and version "2.6.0"
rc3
Affected
Linuxfoundation
Search vendor "Linuxfoundation"
Argo-cd
Search vendor "Linuxfoundation" for product "Argo-cd"
2.6.0
Search vendor "Linuxfoundation" for product "Argo-cd" and version "2.6.0"
rc4
Affected