「Argo CD」に深刻な脆弱性 - APIで認証情報漏洩のおそれ
Kubernetesリソースのデプロイ管理機能を提供する継続的デリバリーツール「Argo CD」に脆弱性が明らかとなった。
「Project API」に起因し、認証情報が漏洩する「CVE-2025-55190」が判明した。
本来プロジェクト単位でアクセスが制御されるべきところ、標準的なプロジェクト権限を持つAPIトークンや一部グローバル権限を持つトークンによって、リポジトリ全体に設定されたユーザー名やパスワードなどの機密情報が取得できるという。
共通脆弱性評価システム「CVSSv3.1」において、ベーススコアが最大値となる「10.0」と評価されており、重要度はもっとも高い「クリティカル(Critical)」とレーティングされている。
開発チームでは、現地時間2025年9月4日に脆弱性に対処した「同3.1.2」「同3.0.14」「同2.14.16」「同2.13.9」をリリース。利用者に注意を呼びかけている。
(Security NEXT - 2025/09/05 )
ツイート
PR
関連記事
「Nessus」「Nessus Agent」に脆弱性 - 任意ファイル削除のおそれ
「Apache MINA」に深刻な脆弱性2件 - アップデートを
米当局、脆弱性6件を悪用カタログに追加
Cisco製FWにバックドア「FIRESTARTER」 - 新手法で永続化、侵害確認を
「Cisco ASA/FTD」脆弱性がDoS攻撃の標的に - 修正を再度呼びかけ
「MS Edge」にセキュリティ更新 - 脆弱性2件を修正
「DeepL」のChrome向け拡張機能にXSS脆弱性
「M365 Copilot」にオープンリダイレクトの脆弱性 - すでに修正済み
「Apache ActiveMQ」にRCE脆弱性 - 悪用が確認され「KEV」にも登録
「MOVEit WAF」に検知回避の深刻な脆弱性 - 早急な対策を
