Bir ARGO CD güvenlik açığı, API uç noktalarına erişmek ve projeyle ilişkili tüm depo kimlik bilgilerini almak için düşük proje düzeyinde alet izinleri olan API jetonlarının izin vermesine izin verir.
CVE-2025-55190 altında izlenen kusur, CVSS V3’te maksimum 10.0 şiddet skoru ile derecelendirilir ve hassas kimlik bilgisi bilgilerini korumak için kullanılan izolasyon mekanizmalarını atlamaya izin verir.
Bu kimlik bilgilerini tutan saldırganlar daha sonra bunları özel kod tabanlarını klonlamak, kötü niyetli tezahürler enjekte etmek, aşağı yönlü uzlaşmayı denemek veya aynı kimlik bilgilerinin yeniden kullanıldığı diğer kaynaklara döndürmek için kullanabilir.
Argo CD, Adobe, Google, IBM, Intuit, Red Hat, Capital One ve BlackRock gibi büyük işletmeler de dahil olmak üzere çok sayıda kuruluş tarafından kullanılan bir Kubernetes-Yerli Sürekli Dağıtım (CD) ve GITOPS aracıdır.
Yeni keşfedilen güvenlik açığı, Argo CD’sinin tüm sürümlerini 2.13.0’a kadar etkiler.
Projenin sadece standart uygulama yönetimi izinleri ve sırlara açık bir şekilde erişim olmasa bile, proje düzeyi izinleri olan proje düzeyinde izinli ARGO CD API jetonları, proje ayrıntıları API uç noktası aracılığıyla, proje detayları API uç noktası aracılığıyla alabilir. “
“API jetonları, hassas kimlik bilgisi bilgilerine erişmek için açık izin gerektirmelidir,” diye ekliyor bülten başka bir kısımda da “standart proje izinlerinin depo sırlarına erişim vermemesi gerektiğini” belirtti.
Açıklama, düşük seviyeli jetonların bir deponun kullanıcı adını ve şifresini alabileceğini göstermektedir.
Saldırı hala geçerli bir ARGO CD API jetonu gerektirir, bu nedenle kimlik doğrulanmamış kullanıcılar tarafından sömürülemez. Bununla birlikte, düşük ayrıcalıklı kullanıcılar bunları genellikle erişilebilir olmaması gereken hassas verilere erişmek için kullanabilirler.
“Bu güvenlik açığı sadece proje düzeyinde izinleri etkilemekle kalmaz. Proje Get izinleri olan herhangi bir jeton da savunmasızdır, P, P, P, Rol/Kullanıcı, Projeler, Get, *, İzin Ver,” gibi Global İzinler de dahil olmak üzere. “
Bu kusurdan yararlanabilen düşük ayrıcalıklı jetonların genişliği nedeniyle, tehdit aktörlerinin bir jeton artışı kazanma fırsatı.
Argo CD’sinin büyük işletmeler tarafından üretim kümelerinde yaygın olarak konuşlandırılması göz önüne alındığında, doğrudan kimlik bilgisi maruziyeti ve sömürü için düşük engel, kusuru özellikle tehlikeli hale getirerek potansiyel olarak kod hırsızlığı, gasp ve tedarik zinciri saldırılarına yol açar.
Ashish Goyal, CVE-2025-55190 Kusurunu keşfetti ve Argo CD sürümlerinde sabitlendi.
Ortamların% 46’sı şifreleri çatladı, geçen yıl neredeyse% 25’ten iki katına çıktı.
Önleme, algılama ve veri açığa çıkma eğilimleri hakkında daha fazla bulgua kapsamlı bir bakış için Picus Blue Report 2025’i şimdi alın.