CVE-2026-42880
KrytyczneCVSS 9.6Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 39 — wyżej niż 39% wszystkich znanych CVE
Streszczenie
W Argo CD w wersjach od 3.2.0 do 3.2.10 oraz od 3.3.0 do 3.3.8 brakuje autoryzacji i maskowania danych w punkcie końcowym ServerSideDiff. Umożliwia to atakującemu z dostępem tylko do odczytu wyodrębnienie danych Secret w postaci jawnego tekstu z etcd za pomocą mechanizmu Server-Side Apply dry-run serwera Kubernetes API.
Ocena ryzyka
Organizacja narażona jest na wyciek wrażliwych danych przechowywanych w Secretach Kubernetes, takich jak hasła, tokeny czy klucze API, co może prowadzić do nieautoryzowanego dostępu do systemów i naruszenia bezpieczeństwa.
Rekomendacja
Należy natychmiast zaktualizować Argo CD do wersji 3.2.11 lub 3.3.9, w zależności od używanej gałęzi. Po aktualizacji zaleca się rotację wszystkich Secretów, które mogły być dostępne dla atakującego.
Oryginalny opis (angielski, źródło NVD)
Argo CD is a declarative, GitOps continuous delivery tool for Kubernetes. From versions 3.2.0 to before 3.2.11 and 3.3.0 to before 3.3.9, there is a missing authorization and data-masking gap in Argo CD's ServerSideDiff endpoint that allows an attacker with read-only access to extract plaintext Kubernetes Secret data from etcd via the Kubernetes API server's Server-Side Apply dry-run mechanism. This issue has been patched in versions 3.2.11 and 3.3.9.

