Kubernetes Gitops dağıtımları için kullanılan popüler bir açık kaynaklı araç olan Argo CD’de büyük bir güvenlik kusuru keşfedildi.
Güvenlik açığı, proje düzeyinde API jetonlarının kullanıcı adları ve şifreler gibi hassas depo kimlik bilgilerini saldırganlara maruz bırakmasına izin verir. Sorun, CVSS skoru 9.8/10 ile kritik olarak sınıflandırılmış ve CVE-2025-55190 olarak izlenmiştir.
Kusur, üç gün önce raporu diğer topluluk katkılarıyla birlikte koordine eden güvenlik araştırmacısı Crenshaw-Dev tarafından açıklandı.
Güvenlik açığı, 2.2.0-rc1’den başlayan ARGO CD sürümlerini etkiler ve şimdi V3.1.2, v3.0.14, v2.14.16 ve v2.13.9 sürümlerinde yamalanmıştır.
Güvenlik Açığı Detayları
Kusur, Proje API uç noktasında (/API/V1/Projects/{Project}/Detaylı) vardır. Tipik olarak senkronizasyon veya otomasyon görevleri için kullanılanlar gibi proje düzeyinde izinli API jetonları, kasıtlı olarak depo kimlik bilgilerine erişebilir.
| CVE kimliği | CVE-2025-55190 |
| Başlık | ARGO CD Projesi API Token, Depo Kimlik Bilgilerini Ortaya Çıkarıyor |
| Şiddet | Kritik (9.8/10) |
Bu, jetonların sırları görüntüleme izinleri olmasa bile olur.
Normal güvenlik mantığı kapsamında, depo kimlik bilgileri yalnızca bunları yönetmek için açık bir şekilde hesaplara veya rollere maruz kalmalıdır.
Bununla birlikte, bu durumda, standart proje izinlerine sahip bir jeton, dümen deposu kullanıcı adları ve şifreler de dahil olmak üzere hassas ayrıntıları alabilir.
Bu güvenlik açığı sadece proje kapsamındaki rolleri değil, aynı zamanda küresel izinleri de etkiler. Jenerik projelere sahip jetonlar, haklar elde eder ve saldırı yüzeyini önemli ölçüde genişletir.
Bir kavram kanıtı, otomasyon rolleriyle bir jeton oluşturmanın ve Proje Ayrıntıları API’sını çağırmanın hassas depo bilgilerini döndürdüğünü gösterir.
Çıktı, kullanıcı adları ve şifreleri içeren depo girişleri içerir ve saldırganların daha geniş sistem uzlaşmasına dönüşmesine izin verir.
Güvenlik uzmanları, bu kusurdan yararlanan saldırganların, dağıtımlara müdahale etmek, kötü niyetli görüntüler tanıtmak veya yazılım tedarik zincirini bozmak için depo kimlik bilgilerini kötüye kullanabileceği konusunda uyarıyor.
Sömürü yalnızca düşük ayrıcalıklar ve kullanıcı etkileşimi gerektirmediğinden, risk profili son derece yüksektir.
Yamalar ve hafifletme
Argo CD ekibi, birden fazla şubede güvenlik yamaları yayınladı. Kullanıcılara hemen yamalı sürümlerden birine yükseltmeleri şiddetle tavsiye edilir:
- v3.1.2
- v3.0.14
- v2.14.16
- v2.13.9
Hemen yama yapamayan kuruluşlar depo kimlik bilgilerini döndürmeli ve güncellemeler uygulanana kadar API jetonlarına erişimi kısıtlamalıdır.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.