継続的デリバリーツール「Argo CD」に深刻な脆弱性、APIトークン経由で認証情報流出の恐れ

継続的デリバリーツール「Argo CD」において、プロジェクト権限を持つAPIトークン経由でリポジトリ認証情報が漏えいする脆弱性(CVE-2025-55190)が報告された。CVSSスコアは9.9(Critical)で、修正版へのアップデートが推奨されている。

» 2025年09月05日 22時55分 公開
[@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 GitHubは2025年9月4日(米国時間)、継続的デリバリー(CD)のオープンソースソフトウェア「Argo CD」の深刻な脆弱(ぜいじゃく)性を報告した。脆弱性番号は「CVE-2025-55190」で米国立標準技術研究所(NIST)の「National Vulnerability Database」(NVD)に公開されている。影響を受けるバージョンは下記の通り。

  • 2.13.0〜2.13.8
  • 2.14.0〜2.14.15
  • 3.0.0〜3.0.12
  • 3.1.0-rc1〜3.1.1

評価スコア9.9(Critical)の脆弱性の詳細

 これらのバージョンでは、プロジェクトレベルの権限を持つAPIトークンや、「p」「role/user」「projects」「get」「*」「allow」といったグローバル権限を含むプロジェクト取得権限を持つトークンが悪用されることで、リポジトリのユーザー名やパスワードといった認証情報が取得されてしまう。

 本来、これらのトークンには認証情報へのアクセス権限はなく、通常のアプリケーション管理権限のみを持つ。だが、認証情報への明示的な許可がない場合でも、APIエンドポイントを介して情報漏えいが発生する恐れがあるという。

 GitHubによるCVSS v3.1の評価スコアは9.9(Critical)であり、攻撃の成立条件が容易かつ影響範囲が広い点が強調されている。ベクトルは「AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H」となっており、リモートからの攻撃が可能で、情報漏えい、改ざん、サービス停止といった深刻な被害が発生し得る。

対応

 この問題は、Argo CDの下記バージョンで修正済みだ。

  • 2.13.9
  • 2.14.16
  • 3.0.14
  • 3.1.2

Releases - argoproj/argo-cd

 利用者は直ちに修正版にアップデートすることが推奨される。

Copyright © ITmedia, Inc. All Rights Reserved.

アイティメディアからのお知らせ

スポンサーからのお知らせPR

注目のテーマ

4AI by @IT - AIを作り、動かし、守り、生かす
Microsoft & Windows最前線2025
AI for エンジニアリング
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。