近日，我司监测到Argo CD发布安全公告，修复了一个存在于Argo CD中的安全漏洞，在验证用户提供的令牌时，会验证该令牌是否由其配置的OIDC提供商签名，不会验证令牌中的 aud（受众）字段。若 Argo CD 配置的 OIDC 提供商也为其他受众提供服务（例如，文件存储服务），Argo CD 也会接受这种令牌。未经授权的远程攻击者可通过窃取这些有效令牌来绕过 Argo CD 身份认证。

Argo CD是用于Kubernetes的声明性GitOps持续交付工具。

影响版本:

• 1.8.2 <= Argo CD <= 2.6.0-rc4
• Argo CD v2.5.x <= v2.5.7
• Argo CD v2.4.x <= v2.4.18
• Argo CD v2.3.x <= v2.3.13

安全版本:

• Argo CD >= 2.6.0-rc5
• Argo CD v2.5.x >= v2.5.8
• Argo CD v2.4.x >= v2.4.20
• Argo CD v2.3.x >= v2.3.14

修复建议：

官方已经针对漏洞发布了版本更新，下载地址如下：

https://github.com/argoproj/argo-cd/releases/