Эксперты по кибербезопасности обнаружили критическую уязвимость в популярном декларативном инструменте непрерывной доставки GitOps для Kubernetes Argo CD. Уязвимость, получившая идентификаторы BDU:2025-14350 и CVE-2025-55190, была выявлена 4 сентября 2025 года и оценивается как высокоопасная с базовой оценкой CVSS 3.1 9.9 баллов из 10 возможных.
Детали уязвимости
Проблема заключается в недостаточной защите служебных данных в API-эндпоинте /api/v1/projects/{project}/detailed. Злоумышленник, имеющий привилегии обычного пользователя, может удаленно эксплуатировать эту уязвимость для раскрытия конфиденциальной информации, включая учетные данные, секреты и другие защищаемые данные Kubernetes-кластеров.
Уязвимость затрагивает широкий спектр версий Argo CD. В частности, подвержены риску версии от 2.13.0 до 2.13.9, от 2.14.0 до 2.14.16, все версии до 3.0.14 включительно, а также версии от 3.1.0 rc1 до 3.1.2. Также под угрозой находятся продукты Red Hat OpenShift GitOps версий 1.15, 1.16 и 1.17, а также Red Hat Developer Hub.
Технический анализ показывает, что уязвимость относится к классу многопользовательских и классифицируется как CWE-200 - раскрытие информации. Базовый вектор CVSS 3.0 указывает на атаку через сеть (AV:N) с низкой сложностью эксплуатации (AC:L), требующую привилегий пользователя (PR:L) и не требующую взаимодействия с пользователем (UI:N). Важно отметить, что уязвимость имеет значительный охват (S:C) и приводит к полному компрометированию конфиденциальности, целостности и доступности системы.
Производитель The Linux Foundation уже подтвердил наличие уязвимости и выпустил соответствующие исправления. Согласно предоставленной информации, способ эксплуатации заключается в несанкционированном сборе информации, при этом в открытом доступе уже существуют рабочие эксплойты, что значительно повышает актуальность угрозы.
Для устранения уязвимости специалисты рекомендуют немедленно обновить программное обеспечение до защищенных версий. Разработчики Argo CD опубликовали подробные рекомендации в своих security advisories на GitHub, включая ссылки на конкретные коммиты, исправляющие проблему. В частности, коммит e8f86101f5378662ae6151ce5c3a76e9141900e8 содержит необходимые исправления для основной ветки разработки.
Пользователям продуктов Red Hat Inc. следует обратиться к официальному описанию уязвимости CVE-2025-55190 на портале безопасности компании. Там представлены детализированные инструкции по обновлению и дополнительные рекомендации по обеспечению безопасности развертываний.
Эксперты подчеркивают, что данная уязвимость представляет особую опасность для организаций, использующих Argo CD в производственных средах. Поскольку инструмент часто имеет доступ к критически важным данным инфраструктуры, несанкционированное раскрытие информации может привести к полному компрометированию всей цепочки доставки приложений.
Специалисты по безопасности рекомендуют администраторам провести срочный аудит своих развертываний Argo CD и применить все доступные обновления. Дополнительно стоит рассмотреть возможность усиления контроля доступа к API-эндпоинтам и регулярного мониторинга подозрительной активности в системах.
Текущий статус уязвимости указывает, что производитель устранил проблему, однако учитывая наличие работающих эксплойтов в открытом доступе, окно для атак остается значительным. Организациям следует расценивать эту угрозу как приоритетную для немедленного устранения.
Архитектура безопасности современных систем доставки приложений требует постоянного внимания к подобным уязвимостям. Регулярное обновление компонентов и своевременное применение исправлений остаются ключевыми мерами защиты от постоянно эволюционирующих киберугроз в среде контейнеризации и оркестрации.
Ссылки
- https://bdu.fstec.ru/vul/2025-14350
- https://www.cve.org/CVERecord?id=CVE-2025-55190
- https://github.com/argoproj/argo-cd/security/advisories/GHSA-786q-9hcg-v9ff
- https://github.com/argoproj/argo-cd/commit/e8f86101f5378662ae6151ce5c3a76e9141900e8
