🛡 概要
Argo CDには、APIトークンがプロジェクトレベルの取得権限を持つ場合でも、APIエンドポイントにアクセスし、プロジェクトに関連するすべてのリポジトリ資格情報を取得できる脆弱性があります。この脆弱性はCVE-2025-55190として追跡されており、CVSS v3では最大の深刻度スコア10.0に評価されています。攻撃者はこれらの資格情報を使用して、プライベートコードベースをクローンしたり、悪意のあるマニフェストを挿入したりすることが可能です。さらに、攻撃者は他のリソースに移動することができます。
🔍 技術詳細
この脆弱性は、Argo CDの全バージョン、特にバージョン2.13.0まで影響を及ぼします。APIトークンは、プロジェクトの詳細APIエンドポイントを通じて、ユーザー名やパスワードなどの機密リポジトリ資格情報を取得できます。この問題は、APIトークンが標準的なアプリケーション管理権限のみを持つ場合でも発生します。具体的には、プロジェクトの取得権限を持つ任意のトークンが影響を受けます。
⚠ 影響
この脆弱性は、Argo CDを使用している多くの企業にとって重大なリスクです。特に、AdobeやGoogle、IBMなどの大企業が利用しているため、攻撃者がコード窃盗や脅迫、サプライチェーン攻撃を行う可能性があります。また、低権限のユーザーが資格情報にアクセスできるため、悪用されるリスクが高まります。さらに、APIトークンが有効であれば、認証されていないユーザーではなくとも、攻撃が可能です。
🛠 対策
この脆弱性を修正するためには、Argo CDのバージョンを3.1.2、3.0.14、2.14.16、または2.13.9にアップグレードすることが推奨されます。管理者は、これらの修正版に直ちに移行することで、リポジトリ資格情報の漏洩を防ぐことができます。また、APIトークンには機密情報へのアクセスに対する明示的な権限を要求するように設定し、標準的なプロジェクト権限がリポジトリの秘密にアクセスできないようにすることが重要です。
