Argo CD Vulnerability Let Attackers Create, Modify, & Deleting Kubernetes Resources
2025/05/29 CyberSecurityNews — Kubernetes 環境向けの GitOps CD (Continuous Delivery) ツールである Argo CD に、深刻なクロスサイト・スクリプティング (XSS) の脆弱性が発見された。この脆弱性 CVE-2025-47933 を悪用する攻撃者は、悪意の JavaScript インジェクションを通じて、Kubernetes リソースの作成/変更/削除といった、不正な操作を可能にするという。
この脆弱性が影響を及ぼす範囲は、先日に修正されたバージョン v3.0.4 から、v2.14.13/v2.13.8/1.2.0-rc1 に至るまでの、広範な Argo CD リリースとなる。
この脆弱性の CVSS ベース・スコアは 9.1 であり、Kubernetes デプロイメント管理に GitOps ワークフローを用いる組織に対して、重大なリスクをもたらしている。
Argo CD における深刻な XSS 脆弱性
この攻撃ベクターによる攻撃の前提としては、Argo CD インターフェイス内でリポジトリ・コンフィグを編集する権限が必要となる。この権限を取得した攻撃者は、細工された JavaScript: URL をリポジトリ・リンクに挿入できるという。
その後に、管理者などの正当なユーザーが、これらの無害に見えるリポジトリ・リンクをクリックすると、埋め込まれた悪意のスクリプトがブラウザ・コンテキスト内で実行され、昇格された権限を介した不正な API 操作へといたる。
この脆弱性の影響は、単純なクロスサイト・スクリプティングに留まらない。攻撃者は、Kubernetes リソースの作成/変更/削除 などの任意のアクションを、API を介して実行できるようになる。この機能により、典型的な XSS 攻撃が、Argo CD により管理される Kubernetes インフラ全体を侵害するための、強力なメカニズムへと変貌する。
技術分析の結果だが、脆弱性 CVE-2025-47933 の根本原因が、Argo CD の UI コンポーネントにおける、URL プロトコルの不適切な検証にあることが判明した。
具体的に言うと、この脆弱性は “ui/src/app/shared/components/urls.ts” ファイルに存在し、リポジトリ URL プロトコルをコードが処理する前の、不適切な検証に起因するという。
問題となっている脆弱なコード・セクションが、リポジトリ URL を適切にサニタイズせずに処理するため、悪意の JavaScript: schemes がセキュリティ・フィルターを回避する可能性が生じている。GitHub アドバイザリに詳述されているように、このコードは、リポジトリURLのプロトコルを検証しないため、ここに JavaScript: URL を挿入することが可能となる。
それらの悪意の JavaScript: URL をブラウザが処理すると、正規のホスト名情報が返されてしまい、さらに悪用が容易になるという。
Kubernetes オーケストレーション・プラットフォームのような複雑な分散システムにおいて、この脆弱性が実証するのは、些細な入力検証の見落としが、深刻なセキュリティ侵害につながる可能性である。
この脆弱性を発見し、責任ある方法で開示したセキュリティ研究者 @Ry0taK は、速やかなパッチ適用の重要性を強調している。
| Risk Factors | Details |
| Affected Products | Argo CD versions, spanning from 1.2.0-rc1 up to the recently patched versions v3.0.4, v2.14.13, and v2.13.8. |
| Impact | Allows attackers to create, modify, and delete Kubernetes resources |
| Exploit Prerequisites | Permission to edit repository configurations, Victim interaction |
| CVSS 3.1 Score | 9.1(Critical) |
緩和策
すでに Argo CD のメンテナたちは、CVE-2025-47933 に対するパッチをリリースし、複数のバージョン・ブランチに対処している。ユーザー組織にとって必要なことは、現在の導入状況に応じて、以下のパッチ適用済みバージョンへと、速やかにアップグレードすることだ:v3.0.4/v2.14.13/v2.13.8
これらのパッチは、検証に失敗した場合に null を返す、適切な URL 検証メカニズムを実装し、悪意の URL インジェクションを効果的に防止している。
残念なことに、完全な回避策は存在しないため、パッチ適用済みバージョンへのアップグレード以外に対策はない。 GitHub アドバイザリには、「唯一の代替緩和策は、ブラウザによる URL フィルタリングへの依存」と記されているが、これでは十分な保護が提供されない。
Argo CD を使用している組織は、このセキュリティ・アップデートを優先する必要がある。それに加えて、リポジトリ・コンフィグ権限に対して厳格なアクセス制御を実装し、追加の XSS 保護レイヤーを提供するための CSP (Content Security Policy) ヘッダーの導入も検討すべきだ。
Argo CD の XSS 脆弱性 CVE-2025-47933 (CVSS:9.1) が FIX しました。現時点では、この脆弱性に対する完全な回避策は提供されておらず、パッチ適用バージョンへのアップグレードが唯一の対策とされています。ご利用のチームは、パッチ適用を、お急ぎください。よろしければ、Argo CD で検索/Kubernetes で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.