「Argo CD」に深刻な脆弱性 - APIで認証情報漏洩のおそれ
Kubernetesリソースのデプロイ管理機能を提供する継続的デリバリーツール「Argo CD」に脆弱性が明らかとなった。
「Project API」に起因し、認証情報が漏洩する「CVE-2025-55190」が判明した。
本来プロジェクト単位でアクセスが制御されるべきところ、標準的なプロジェクト権限を持つAPIトークンや一部グローバル権限を持つトークンによって、リポジトリ全体に設定されたユーザー名やパスワードなどの機密情報が取得できるという。
共通脆弱性評価システム「CVSSv3.1」において、ベーススコアが最大値となる「10.0」と評価されており、重要度はもっとも高い「クリティカル(Critical)」とレーティングされている。
開発チームでは、現地時間2025年9月4日に脆弱性に対処した「同3.1.2」「同3.0.14」「同2.14.16」「同2.13.9」をリリース。利用者に注意を呼びかけている。
(Security NEXT - 2025/09/05 )
ツイート
PR
関連記事
SAP、月例パッチで脆弱性15件を修正 - 「クリティカル」も
AppleやGladinet製品の脆弱性悪用に注意喚起 - 米当局
「iOS」にアップデート - 「WebKit」のゼロデイ脆弱性2件など修正
ConnectWise「ScreenConnect」のサーバコンポーネントに脆弱性
「Node.js」のアップデート、公開を延期 - 週内にリリース予定
「macOS Tahoe 26.2」で脆弱性47件を修正 - 「Safari」も更新
「Chromium」ゼロデイ脆弱性、Macに影響 - 米当局が注意喚起
「Plesk」Linux版に権限昇格の脆弱性 - アップデートで修正
ウェブメール「Roundcube」にXSSなど脆弱性 - 更新を強く推奨
「React」が脆弱性3件を追加修正 - 重大脆弱性の余波に引き続き警戒を
