Argo CDの脆弱性により、プロジェクトレベルで取得権限しか持たないAPIトークンでも、APIエンドポイントにアクセスして、そのプロジェクトに関連付けられたすべてのリポジトリ認証情報を取得できてしまいます。
この脆弱性はCVE-2025-55190として追跡されており、CVSS v3で最大深刻度スコア10.0と評価されています。これにより、機密性の高い認証情報を保護するための分離メカニズムをバイパスすることが可能となります。
攻撃者がこれらの認証情報を入手すると、プライベートなコードベースをクローンしたり、悪意のあるマニフェストを注入したり、下流のシステムに侵入を試みたり、同じ認証情報が再利用されている他のリソースへピボットすることが可能となります。
Argo CDは、Kubernetesネイティブの継続的デプロイメント(CD)およびGitOpsツールであり、Adobe、Google、IBM、Intuit、Red Hat、Capital One、BlackRockなどの大企業を含む多くの組織が、大規模かつミッションクリティカルなデプロイメントの管理に利用しています。
今回発見された新たな脆弱性は、バージョン2.13.0までのすべてのArgo CDに影響します。
「プロジェクトレベルの権限を持つArgo CD APIトークンは、プロジェクト詳細APIエンドポイントを通じて機密性の高いリポジトリ認証情報(ユーザー名、パスワード)を取得できてしまいます。これは、トークンが標準的なアプリケーション管理権限しか持たず、シークレットへの明示的なアクセス権がない場合でも発生します」と、プロジェクトのGitHubに掲載された通告に記載されています。
「APIトークンは、機密性の高い認証情報へアクセスするためには明示的な権限が必要であるべきです」と通告の別の箇所で付け加えられており、「標準的なプロジェクト権限でリポジトリのシークレットへのアクセスが許可されるべきではありません」とも述べられています。
この公開情報は、低レベルのトークンでもリポジトリのユーザー名とパスワードを取得できることを示しています。
この攻撃には有効なArgo CD APIトークンが必要なため、認証されていないユーザーによる悪用はできません。しかし、権限の低いユーザーでも、通常はアクセスできないはずの機密データにアクセスできてしまう可能性があります。
「この脆弱性はプロジェクトレベルの権限だけでなく、プロジェクトの取得権限を持つすべてのトークンにも影響します。グローバル権限(例:p, role/user, projects, get, *, allow)も含まれます」とArgoプロジェクトは警告しています。
この脆弱性を悪用できる低権限トークンが広範囲に存在するため、攻撃者がトークンを入手できる機会も増加します。
Argo CDが大企業の本番クラスターで広く利用されていることを考えると、認証情報が直接漏洩し、悪用のハードルが低いこの脆弱性は特に危険であり、コードの窃盗、恐喝、サプライチェーン攻撃などにつながる可能性があります。
Ashish Goyal氏がCVE-2025-55190の脆弱性を発見し、Argo CDバージョン3.1.2、3.0.14、2.14.16、2.13.9で修正されています。影響を受ける可能性のあるシステムの管理者は、できるだけ早くこれらのいずれかのバージョンにアップデートすることが推奨されます。
