Уязвимость BDU:2025-06327

Идентификатор: BDU:2025-06327.

Наименование уязвимости: Уязвимость декларативного инструмента непрерывной доставки GitOps для Kubernetes Argo CD, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю проводить межсайтовые сценарные атаки.

Описание уязвимости: Уязвимость декларативного инструмента непрерывной доставки GitOps для Kubernetes Argo CD связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, проводить межсайтовые сценарные атаки
Уязвимое ПО: Прикладное ПО информационных систем The Linux Foundation Argo CD до 2.13.8 | Прикладное ПО информационных систем The Linux Foundation Argo CD от 2.14 до 2.14.13 | Прикладное ПО информационных систем The Linux Foundation Argo CD от 3.0 до 3.0.4 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 28.05.2025.
CVSS 2.0: AV:N/AC:L/Au:S/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9)

Возможные меры по устранению:
Использование рекомендаций:
https://github.com/argoproj/argo-cd/releases/tag/v2.13.8
https://github.com/argoproj/argo-cd/releases/tag/v2.14.13
https://github.com/argoproj/argo-cd/releases/tag/v3.0.4
https://github.com/argoproj/argo-cd/commit/a5b4041a79c54bc7b3d090805d070bcdb9a9e4d1.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2025-47933.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://github.com/argoproj/argo-cd/commit/a5b4041a79c54bc7b3d090805d070bcdb9a9e4d1
https://github.com/argoproj/argo-cd/security/advisories/GHSA-2hj5-g64g-fp6p