継続的デリバリーツール「Argo CD」に深刻な脆弱性、APIトークン経由で認証情報流出の恐れ
継続的デリバリーツール「Argo CD」において、プロジェクト権限を持つAPIトークン経由でリポジトリ認証情報が漏えいする脆弱性(CVE-2025-55190)が報告された。CVSSスコアは9.9(Critical)で、修正版へのアップデートが推奨されている。
GitHubは2025年9月4日(米国時間)、継続的デリバリー(CD)のオープンソースソフトウェア「Argo CD」の深刻な脆弱(ぜいじゃく)性を報告した。脆弱性番号は「CVE-2025-55190」で米国立標準技術研究所(NIST)の「National Vulnerability Database」(NVD)に公開されている。影響を受けるバージョンは下記の通り。
- 2.13.0〜2.13.8
- 2.14.0〜2.14.15
- 3.0.0〜3.0.12
- 3.1.0-rc1〜3.1.1
評価スコア9.9(Critical)の脆弱性の詳細
これらのバージョンでは、プロジェクトレベルの権限を持つAPIトークンや、「p」「role/user」「projects」「get」「*」「allow」といったグローバル権限を含むプロジェクト取得権限を持つトークンが悪用されることで、リポジトリのユーザー名やパスワードといった認証情報が取得されてしまう。
本来、これらのトークンには認証情報へのアクセス権限はなく、通常のアプリケーション管理権限のみを持つ。だが、認証情報への明示的な許可がない場合でも、APIエンドポイントを介して情報漏えいが発生する恐れがあるという。
GitHubによるCVSS v3.1の評価スコアは9.9(Critical)であり、攻撃の成立条件が容易かつ影響範囲が広い点が強調されている。ベクトルは「AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H」となっており、リモートからの攻撃が可能で、情報漏えい、改ざん、サービス停止といった深刻な被害が発生し得る。
対応
この問題は、Argo CDの下記バージョンで修正済みだ。
- 2.13.9
- 2.14.16
- 3.0.14
- 3.1.2
利用者は直ちに修正版にアップデートすることが推奨される。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
終わらせましょう。複雑過ぎるKubernetes/クラウドネイティブが生む心理的安全性の低下を――無料でクラウドセキュリティの勘所が分かる130ページの電子書籍
人気過去連載を電子書籍化し、無料ダウンロード提供する@IT eBookシリーズ。第126弾では、Kubernetesやクラウドネイティブをより便利に利用する技術やツールの概要、使い方を凝縮して紹介する連載「Cloud Nativeチートシート」の中から、クラウドネイティブセキュリティに着目した記事6本をまとめました。「検証はあなたの仕事」 GitHub CopilotにおけるセキュリティのベストプラクティスをGitHubが初学者向けに解説
GitHubは、AIコーディングアシスタントのGitHub Copilotや他のツールを使って、コードの安全性を向上させるためのベストプラクティスを解説する記事を公式ブログで公開した。「Argo CD」で実装するKubernetesの「GitOps」――基本と原則、実践時の考慮ポイント
Kubernetesやクラウドネイティブをより便利に利用する技術やツールの概要、使い方を凝縮して紹介する連載。今回は、「Argo CD」によるクラウドネイティブなCD(継続的デリバリー)「GitOps」について解説します。