Critical CVE-2025-32445 Vulnerability in Argo Events Scores CVSS 10
2025/04/16 SecurityOnline — Kubernetes 向けのイベント・ドリブンなワークフロー自動化フレームワーク Argo Events に、深刻なセキュリティ脆弱性 CVE-2025-32445 (CVSS:10.0) が発見された。
この問題のコアは、Argo Events が EventSource/Sensor のカスタム・リソース (CR) を処理する方法にある。Argo のアドバイザリには、「EventSource/Sensor のカスタム・リソースを作成/変更する権限を持つユーザーは、直接的な管理者権限を持っていなくても、ホスト・システム/クラスタへの特権アクセスを取得できる」と記されている。
EventSource/Sensor の CR は、”spec.template”/”spec.template.container” を用いてカスタマイズできる。このカスタマイズによりユーザーは command/args/securityContext/volumeMount などの、各種のコンテナ・プロパティを指定できる。このコード・ロジックにより、これらの仕様が EventSource/Sensor ポッドに適用される。
このアドバイザリでは、この脆弱性が悪用される方法を示す、サンプルの EventSource コンフィグが提供されている。 具体的に言うと、”template.container” セクションを巧妙に細工することで、攻撃者はクラスタ・ホストに対する特権アクセスを取得できる。たとえば、”privileged: true” の設定/SYS_ADMIN ケイパビリティの追加/ホストのルート・ファイル・システムのマウントなどが挙げられる。
この脆弱性の影響は深刻であり、マルチテナント Kubernetes クラスタでは、さらに深刻なものとなる。この脆弱性が悪用されると、以下のような事態が発生するとされる。
- テナント分離の破壊
- 管理者以外のユーザーによるホスト/クラスタへのアクセス
- 他のテナントのデータへのアクセス
- RBAC 制限や Pod セキュリティ・ポリシー/標準などのセキュリティモデルの回避
- ホスト・システムの侵害
すでに Argo チームは、パッチをリリースし、この脆弱性に対処している。パッチ適用後のバージョン v1.9.6 では、”spec.template.container” で許可されるプロパティが制限されている。 Argo Events のユーザーに対して強く推奨されるのは、このバージョンへと速やかにアップグレードし、リスクを軽減することだ。
イベント駆動型のワークフロー自動化フレームワークである Argo Events に、権限昇格の脆弱性が発見されました。この脆弱性は、CVSS スコアで最高値の 10.0 と評価されており、悪用された場合は深刻な被害につながる恐れがあります。ご利用のチームは、アップデートをお急ぎください。よろしければ、Argo で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.