Critical Argo CD API Vulnerability Exposes Repository Credentials
2025/09/05 CyberSecurityNews — Argo CD に、深刻な脆弱性 CVE-2025-55190 が発見された。この脆弱性により、権限が制限された API トークンであっても、機密リポジトリの認証情報にアクセスできてしまう。このプロジェクト詳細 API エンドポイントの脆弱性により、ユーザー名とパスワードが公開され、明示的な権限を必要としないアクセスが許可されるため、シークレットに関するプラットフォームのセキュリティ・モデルが損なわれる。
この脆弱性は、Project API における不適切な認証チェックに起因し、具体的には “/api/v1/projects/{project}/detailed” エンドポイントに問題が生じる。
この脆弱性の詳細情報によると、アプリケーション管理用などの、標準的なプロジェクト・レベルの権限を持つ API トークンは、対象となるプロジェクトに関連付けられた、すべてのリポジトリ認証情報を取得できる。
想定される通常の動作では、シークレットなどの機密情報にリクエストを送信する際に、昇格した権限が必要となる。しかし、実際には、基本的なアクセス権を持つトークンであっても、それらのデータを取得できてしまう。
エクスプロイトの詳細
この問題は、プロジェクト固有のロールには限定されない。つまり、プロジェクトにおける get 権限を持つトークンは、すべて脆弱であると考えられる。そこに含まれるものには、”p”、”role/user”、”projects”、”get”、”*”、”allow” などの、広範なグローバル権限を持つトークンもある。このような汎用的なトークンにより、脆弱性が悪用される可能性があるため、潜在的な攻撃対象領域が大幅に拡大する。
その悪用は簡単である。必要な権限を持つ有効な API トークンを所有する攻撃者であれば、詳細なプロジェクト API エンドポイントに対して、単純な認証呼び出しを行うことが可能となる。
結果として得られる JSON レスポンスに取り込まれるものには、プロジェクトに接続されているリポジトリの資格情報である、プレーン・テキストのユーザー名とパスワードを含んだポジトリ・オブジェクトがある。それにより攻撃者は、プライベートなソースコード・リポジトリへのアクセスに使用するための、資格情報を簡単に収集できる。
この脆弱性の影響は深刻であり、公開された資格情報が悪用されると、ソースコードの窃取や、CI/CD パイプラインへの悪意のコード挿入などに加えて、開発インフラへのさらなる侵害が引き起こされる可能性がある。
すでに Argo CD 開発チームは、パッチをリリースし、この問題に対処している。リスクを軽減するために、管理者たちに強く推奨されるのは、以下のいずれかのセキュア・バージョンへと、速やかにインスタンスをアップグレードすることだ。
- v3.1.2
- v3.0.14
- v2.14.16
- v2.13.9
パッチ適用済みバージョンにアップグレードすることで、API エンドポイントで適切な権限チェックが実施され、リポジトリ認証情報の不正な漏洩を防止できるようになる。
Argo CD に、脆弱性 CVE-2025-55190 が発見されました。原因は、プロジェクト詳細 API エンドポイントにおける認証チェックの不備にあります。本来であれば、高度な権限が必要な、リポジトリのユーザー名やパスワードへのアクセスが、基本的な権限しか持たない API トークンであっても、取得できてしまう状態でした。ご利用のチームは、ご注意ください。よろしければ、Argo CD で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.