検索
ニュース

継続的デリバリーツール「Argo CD」に深刻な脆弱性、APIトークン経由で認証情報流出の恐れ

継続的デリバリーツール「Argo CD」において、プロジェクト権限を持つAPIトークン経由でリポジトリ認証情報が漏えいする脆弱性(CVE-2025-55190)が報告された。CVSSスコアは9.9(Critical)で、修正版へのアップデートが推奨されている。

Share
Tweet
LINE
Hatena

 GitHubは2025年9月4日(米国時間)、継続的デリバリー(CD)のオープンソースソフトウェア「Argo CD」の深刻な脆弱(ぜいじゃく)性を報告した。脆弱性番号は「CVE-2025-55190」で米国立標準技術研究所(NIST)の「National Vulnerability Database」(NVD)に公開されている。影響を受けるバージョンは下記の通り。

  • 2.13.0〜2.13.8
  • 2.14.0〜2.14.15
  • 3.0.0〜3.0.12
  • 3.1.0-rc1〜3.1.1

評価スコア9.9(Critical)の脆弱性の詳細

 これらのバージョンでは、プロジェクトレベルの権限を持つAPIトークンや、「p」「role/user」「projects」「get」「*」「allow」といったグローバル権限を含むプロジェクト取得権限を持つトークンが悪用されることで、リポジトリのユーザー名やパスワードといった認証情報が取得されてしまう。

 本来、これらのトークンには認証情報へのアクセス権限はなく、通常のアプリケーション管理権限のみを持つ。だが、認証情報への明示的な許可がない場合でも、APIエンドポイントを介して情報漏えいが発生する恐れがあるという。

 GitHubによるCVSS v3.1の評価スコアは9.9(Critical)であり、攻撃の成立条件が容易かつ影響範囲が広い点が強調されている。ベクトルは「AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H」となっており、リモートからの攻撃が可能で、情報漏えい、改ざん、サービス停止といった深刻な被害が発生し得る。

対応

 この問題は、Argo CDの下記バージョンで修正済みだ。

  • 2.13.9
  • 2.14.16
  • 3.0.14
  • 3.1.2

Releases - argoproj/argo-cd

 利用者は直ちに修正版にアップデートすることが推奨される。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る