CVE-2025-55190

CRÍTIC (10,0)

CVSS3: 0,0

Argo CD és una eina declarativa de lliurament continu de GitOps per a Kubernetes. A les versions 2.13.0 a 2.13.8, 2.14.0 a 2.14.15, 3.0.0 a 3.0.12 i 3.1.0-rc1 a 3.1.1, els testimonis d’API amb permisos a nivell de projecte poden recuperar credencials sensibles del repositori (noms d’usuari, contrasenyes) a través del punt final de l’API de detalls del projecte, fins i tot quan el testimoni només té permisos estàndard de gestió d’aplicacions i no té accés explícit als secrets.

Sistemes Afectats

• argoproj argo-cd 2.13.0
• argoproj argo-cd 2.13.1
• argoproj argo-cd 2.13.2
• argoproj argo-cd 2.13.3
• argoproj argo-cd 2.13.4
• argoproj argo-cd 2.13.5
• argoproj argo-cd 2.13.6
• argoproj argo-cd 2.13.7
• argoproj argo-cd 2.13.8
• argoproj argo-cd 2.14.0
• argoproj argo-cd 2.14.1
• argoproj argo-cd 2.14.2
• argoproj argo-cd 2.14.3
• argoproj argo-cd 2.14.4
• argoproj argo-cd 2.14.5
• argoproj argo-cd 2.14.6
• argoproj argo-cd 2.14.7

Remediació
Aquest problema s’ha corregit a les versions 2.13.9, 2.14.16, 3.0.14 i 3.1.2. Vegeu-ne les referències.

Referències

• https://github.com/argoproj/argo-cd/security/advisories/GHSA-786q-9hcg-v9ff
• https://github.com/argoproj/argo-cd/commit/e8f86101f5378662ae6151ce5c3a76e9141900e8
• https://raw.githubusercontent.com/CVEProject/cvelistV5/main/cves/2025/55xxx/CVE-2025-55190.json