Argo CD Menambal Kerentanan Kritis CVSS 10 yang Mengekspos Kredensial Repositori (CVE-2025-55190)

Proyek Argo CD telah mengungkapkan dan menambal kerentanan kritis (CVE-2025-55190, CVSS 10) yang memengaruhi platform pengiriman berkelanjutan GitOps yang populer untuk Kubernetes. Kerentanan ini, yang ditemukan di Project API, memungkinkan token dengan izin tingkat proyek dasar untuk mengambil kredensial repositori sensitif, termasuk nama pengguna dan kata sandi.

Menurut advisori tersebut, "Token API Argo CD dengan izin tingkat proyek mampu mengambil kredensial repositori sensitif (nama pengguna, kata sandi) melalui titik akhir API detail proyek, meskipun token tersebut hanya memiliki izin manajemen aplikasi standar dan tidak memiliki akses eksplisit ke rahasia."

Masalahnya terletak pada titik akhir /api/v1/projects/{project}/detailed, yang gagal membatasi akses ke data sensitif dengan benar.

- Perilaku yang diharapkan: Token API hanya boleh mengakses rahasia repositori dengan izin eksplisit.

- Perilaku aktual: "Token API dengan izin proyek dasar dapat mengambil semua kredensial repositori yang terkait dengan suatu proyek melalui titik akhir API proyek yang terperinci."

Kerentanan ini meluas melampaui peran tingkat proyek. Sebagaimana yang ditegaskan dalam advisori, "Setiap token dengan izin proyek get juga rentan, termasuk izin global seperti: p, role/user, projects, get, , allow."

Eksploitasinya mudah. ​​Dengan membuat token API yang hanya berisi peran otomatisasi proyek (untuk tindakan seperti sinkronisasi atau pengambilan aplikasi) lalu memanggil API detail proyek, penyerang dapat langsung mengambil kredensial repositori tertanam.

Example Request :

Response (excerpt):

Hal ini secara efektif berarti paparan kredensial penuh untuk repositori yang terkait dengan proyek tersebut. Tim Argo CD telah merilis pembaruan untuk mengatasi CVE-2025-55190 dalam versi berikut: v3.1.2 v3.0.14 v2.14.16 v2.13.9 Semua pengguna sangat disarankan untuk memperbarui ke rilis patch terbaru.

#CVE #GitOps #Github #ArgoCD

Berbagi :