В популярном инструменте Argo CD с открытым исходным кодом, используемом для GitOps-развертываний в Kubernetes, обнаружена серьезная уязвимость безопасности. Проблема позволяет токенам API на уровне проекта раскрывать конфиденциальные учетные данные репозиториев, такие как имена пользователей и пароли. Уязвимость классифицирована как критическая с оценкой CVSS 9,8 из 10 и отслеживается как CVE-2025-55190.
Детали уязвимости
Проблема была публично раскрыта три дня назад исследователем безопасности crenshaw-dev, который координировал отчет вместе с другими участниками сообщества. Уязвимость затрагивает версии Argo CD начиная с 2.2.0-rc1 и теперь исправлена в версиях v3.1.2, v3.0.14, v2.14.16 и v2.13.9.
Уязвимость существует в конечной точке Project API (/api/v1/projects/{project}/detailed). Токены API с разрешениями на уровне проекта, такие как те, которые обычно используются для задач синхронизации или автоматизации, могут непреднамеренно получать доступ к учетным данным репозиториев. Это происходит даже если токены явно не имеют разрешений на просмотр секретов. При нормальной логике безопасности учетные данные репозиториев должны раскрываться только учетным записям или ролям, явно разрешенным для управления ими. Однако в данном случае токен со стандартными разрешениями проекта может получить конфиденциальные данные, включая имена пользователей и пароли репозиториев.
Эта уязвимость затрагивает не только роли с областью действия проекта, но и глобальные разрешения. Токены с общими правами на проекты уязвимы, что значительно расширяет поверхность атаки. Proof-of-concept демонстрирует, что создание токена с ролями автоматизации и вызов API деталей проекта возвращает конфиденциальную информацию репозитория. Вывод содержит записи репозиториев с именами пользователей и паролями в открытом тексте, что позволяет злоумышленникам перейти к более широкой компрометации системы.
Эксперты по безопасности предупреждают, что атакующие, использующие эту уязвимость, могут злоупотребить учетными данными репозитория, чтобы помешать развертыванию, внедрить вредоносные образы или скомпрометировать цепочку поставок программного обеспечения. Поскольку для эксплуатации уязвимости требуются лишь низкие привилегии и не требуется взаимодействие с пользователем, ее профиль риска является чрезвычайно высоким. Пользователям настоятельно рекомендуется немедленно обновить систему до одной из исправленных версий: v3.1.2, v3.0.14, v2.14.16 или v2.13.9. Организации, которые не могут немедленно применить исправление, должны обновить учетные данные репозитория и ограничить доступ к токенам API до тех пор, пока обновления не будут применены. Своевременное обновление программного обеспечения остается важной мерой защиты инфраструктуры Kubernetes от потенциальных атак.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-55190
- https://nvd.nist.gov/vuln/detail/CVE-2025-55190
- https://github.com/argoproj/argo-cd/security/advisories/GHSA-786q-9hcg-v9ff
- https://github.com/argoproj/argo-cd/commit/e8f86101f5378662ae6151ce5c3a76e9141900e8
