Una vulnerabilidad de ARGO CD permite tokens API con un bajo nivel de nivel de proyecto GET permisos para acceder a los puntos finales de API y recuperar todas las credenciales de repositorio asociadas con el proyecto.
El defecto, rastreado debajo CVE-2025-55190se clasifica con la puntuación máxima de gravedad de 10.0 en CVSS V3, y permite pasar por alto los mecanismos de aislamiento utilizados para proteger la información confidencial de las credenciales.
Los atacantes que sostienen esas credenciales podrían usarlas para clonar las bases de código privadas, inyectar manifiestos maliciosos, intentar un compromiso aguas abajo o pivotar a otros recursos donde se reutilizan las mismas credenciales.
ARGO CD es una herramienta de implementación continua nativa de Kubernetes (CD) y GITOPS utilizada por numerosas organizaciones, incluidas grandes empresas como Adobe, Google, IBM, Intuit, Red Hat, Capital One y BlackRock, que lo usan para manejar despliegues misioneros a gran escala a gran escala.
La vulnerabilidad recientemente descubierta impacta todas las versiones de CD de Argo hasta 2.13.0.
«Los tokens API de CD de Argo con permisos a nivel de proyecto pueden recuperar credenciales de repositorio confidencial (nombres de usuario, contraseñas) a través del punto final de la API de detalles del proyecto, incluso cuando el token solo tiene permisos de administración de aplicaciones estándar y no hay acceso explícito a secretos». Lee el boletín Publicado en el GitHub del proyecto.
«Los tokens API deben requerir un permiso explícito para acceder a la información de las credenciales confidenciales», agrega el boletín en otra parte, y también señala que «los permisos estándar del proyecto no deberían otorgar acceso a secretos del repositorio».
La divulgación demuestra que los tokens de bajo nivel pueden recuperar el nombre de usuario y la contraseña de un repositorio.
El ataque todavía requiere un token API de CD de Argo válido, por lo que no es explotable por los usuarios no autenticados. Sin embargo, los usuarios de bajo privilegio podrían usarlos para obtener acceso a datos confidenciales a los que generalmente no deberían ser accesibles.
«Esta vulnerabilidad no solo afecta los permisos a nivel de proyecto. Cualquier token con los permisos GET GET también es vulnerable, incluidos los permisos globales como: P, rol/usuario, proyectos, get, *, permiten», advierte el proyecto Argo.
Debido a la amplia amplitud de tokens de bajo privilegiado que pueden explotar este defecto, la oportunidad de que los actores amenazados aumenten a una ficha aumenten.
Dada el despliegue generalizado de Argo CD en los grupos de producción por las principales empresas, la exposición directa a la credencial y la baja barrera para la explotación hacen que la falla sea particularmente peligrosa, lo que puede conducir al robo de código, extorsión y ataques de cadena de suministro.
Ashish Goyal descubrió el defecto de CVE-2025-55190, y ha sido fijado En las versiones de ARGO CD 3.1.2, 3.0.14, 2.14.16 y 2.13.9, por lo que los administradores de sistemas potencialmente afectados se recomiendan pasar a una de estas versiones lo antes posible.
El 46% de los entornos tenían contraseñas agrietadas, casi duplicando desde el 25% el año pasado.
Obtenga el informe PICUS Blue 2025 ahora para ver más hallazgos sobre la prevención, la detección y las tendencias de exfiltración de datos.
