継続的デリバリーツール「Argo CD」において、プロジェクト権限を持つAPIトークン経由でリポジトリ認証情報が漏えいする脆弱性(CVE-2025-55190)が報告された。CVSSスコアは9.9(Critical)で、修正版へのアップデートが推奨されている。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
GitHubは2025年9月4日(米国時間)、継続的デリバリー(CD)のオープンソースソフトウェア「Argo CD」の深刻な脆弱(ぜいじゃく)性を報告した。脆弱性番号は「CVE-2025-55190」で米国立標準技術研究所(NIST)の「National Vulnerability Database」(NVD)に公開されている。影響を受けるバージョンは下記の通り。
これらのバージョンでは、プロジェクトレベルの権限を持つAPIトークンや、「p」「role/user」「projects」「get」「*」「allow」といったグローバル権限を含むプロジェクト取得権限を持つトークンが悪用されることで、リポジトリのユーザー名やパスワードといった認証情報が取得されてしまう。
本来、これらのトークンには認証情報へのアクセス権限はなく、通常のアプリケーション管理権限のみを持つ。だが、認証情報への明示的な許可がない場合でも、APIエンドポイントを介して情報漏えいが発生する恐れがあるという。
GitHubによるCVSS v3.1の評価スコアは9.9(Critical)であり、攻撃の成立条件が容易かつ影響範囲が広い点が強調されている。ベクトルは「AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H」となっており、リモートからの攻撃が可能で、情報漏えい、改ざん、サービス停止といった深刻な被害が発生し得る。
この問題は、Argo CDの下記バージョンで修正済みだ。
利用者は直ちに修正版にアップデートすることが推奨される。
Copyright © ITmedia, Inc. All Rights Reserved.