Argo CDに脆弱性が発見され、APIトークンがプロジェクトレベルの取得権限を持っている場合でも、プロジェクトに関連するすべてのリポジトリの認証情報にアクセスできることが確認されました。この脆弱性はCVE-2025-55190として追跡され、CVSS v3で最大の深刻度スコアである10.0を持っています。攻撃者はこの情報を悪用し、プライベートコードベースを複製したり、悪意のあるマニフェストを挿入したりする可能性があります。影響を受けるのは、Argo CDのすべてのバージョンで、アドビやグーグル、IBMなどの大企業が利用しています。脆弱性が発生するのは、プロジェクトレベルの権限を持つAPIトークンでも、標準のアプリケーション管理権限しかなくても、プロジェクト詳細APIエンドポイントを通じて敏感な認証情報を取得できるためです。この問題に対する推奨対策としては、管理者がバージョン3.1.2、3.0.14、2.14.16、または2.13.9にアップデートすることが挙げられています。リポジトリの機密情報へのアクセスを制限するためには、APIトークンが明示的な許可を必要とするべきだと指摘されています。特に、低権限のトークンがこの脆弱性を利用できるため、攻撃者がトークンへのアクセスを得る機会が増えています。この脆弱性を通じて、コードの盗難や脅迫、サプライチェーン攻撃が発生する可能性があるため、注意が必要です。
Read more
Argo CD APIの重大な脆弱性が認証情報を漏洩。
未分類
コメント