Kubernetes持续部署工具Argo CD近日被曝光存在一个最高等级(CVSS 10.0)的API漏洞(CVE-2025-55190),允许任何持有项目低权限API令牌的用户,通过特定接口获取项目下所有代码仓库的敏感凭证、包括用户名与密码。该漏洞影响2.13.0及其之前所有Argo CD版本,并可绕过本应隔离敏感凭证的数据保护机制。
据披露,即便API令牌仅具备常规的应用管理权限,无需更高访问密钥,也可能导致私有代码库被克隆、恶意清单注入、甚至影响下游系统安全。由于众多大型企业如Adobe、Google、IBM等均在生产环境大规模部署Argo CD,凭证大量外泄风险尤为引人担忧。
漏洞源于权限校验不严,任何拥有“get”权限的API令牌,包括全局和项目角色,都可利用该缺陷,降低攻击门槛。虽然须具备有效令牌,但低权限用户同样能越权获取敏感数据,带来供应链攻击和勒索威胁。
该漏洞由Ashish Goyal发现,官方已在3.1.2、3.0.14、2.14.16与2.13.9等版本修复,建议所有受影响系统尽快升级。