一、 漏洞 CVE-2023-40025 基础信息
漏洞标题
Argo CD 网络终端会话不会过期
来源:AIGC 神龙大模型
漏洞描述信息
Argo CD web终端会话不会过期
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
来源:AIGC 神龙大模型
漏洞类别
不充分的会话过期机制
来源:AIGC 神龙大模型
漏洞标题
Argo CD web terminal session doesn't expire
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Argo CD is a declarative, GitOps continuous delivery tool for Kubernetes. All versions of Argo CD starting from version 2.6.0 have a bug where open web terminal sessions do not expire. This bug allows users to send any websocket messages even if the token has already expired. The most straightforward scenario is when a user opens the terminal view and leaves it open for an extended period. This allows the user to view sensitive information even when they should have been logged out already. A patch for this vulnerability has been released in the following Argo CD versions: 2.6.14, 2.7.12 and 2.8.1.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
不充分的会话过期机制
来源:美国国家漏洞数据库 NVD
漏洞标题
ArgoCD 代码问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
ArgoCD是一个应用软件。用于Kubernetes的声明性GitOps连续交付工具。它持续监控正在运行的应用程序并将当前的实时状态与所需的目标状态(例如 Git 仓库中的配置)进行比较,在 Git 仓库更改时自动同步和部署应用程序。 ArgoCD 2.6.0版本及之后版本存在代码问题漏洞。攻击者利用该漏洞可以获取敏感信息。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
代码问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2023-40025 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2023-40025 的情报信息