关键漏洞信息 漏洞标题 DoS via credentials updates triggering a race condition that crashes the Argo CD server 严重性 等级: 中等 (6.5/10) CVSS v3 基本指标: - 攻击向量: 网络 - 攻击复杂度: 低 - 所需权限: 低 - 用户交互: 无 - 范围: 不变 - 机密性影响: 无 - 完整性影响: 无 - 可用性影响: 高 影响版本 : - 受影响版本: 2.1.0 至 2.14.19 - 修复版本: 2.14.20 : - 受影响版本: 3.0.0-rc1 至 3.2.0-rc1, 3.1.7, 3.0.19 - 修复版本: 3.2.0-rc2, 3.1.8, 3.0.19 描述 摘要: 存储库凭据处理器中的竞争条件可能导致 Argo CD 服务器在对同一存储库 URL 进行并发操作时崩溃。 详细信息: 漏洞存在于 文件中的多个存储库相关处理程序中,例如 函数。问题表现为并发映射访问恐慌。 原因 1. 并发存储库凭据操作(创建/更新/删除)访问同一映射。 2. Kubernetes informer 同时重新同步。 3. 背景监视器更新同一秘密数据。 4. 映射访问没有互斥保护。 触发条件 需要具有 资源权限的有效 API 令牌(创建、更新或删除操作)来触发竞争条件。 影响 此漏洞导致整个 Argo CD 服务器崩溃并变得不可用。攻击者可以反复触发竞争条件以维持拒绝服务状态,扰乱所有 GitOps 操作。默认的 ArgoCD 配置是易受攻击的。 修复 通过在读取/写入之前深度复制 对象来解决数据竞争问题。 报告者 @thevilledev