Katalog CVE

CVE-2026-42880

KrytyczneCVSS 9.6
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.51%

Percentyl 39 — wyżej niż 39% wszystkich znanych CVE

Streszczenie

W Argo CD w wersjach od 3.2.0 do 3.2.10 oraz od 3.3.0 do 3.3.8 brakuje autoryzacji i maskowania danych w punkcie końcowym ServerSideDiff. Umożliwia to atakującemu z dostępem tylko do odczytu wyodrębnienie danych Secret w postaci jawnego tekstu z etcd za pomocą mechanizmu Server-Side Apply dry-run serwera Kubernetes API.

Ocena ryzyka

Organizacja narażona jest na wyciek wrażliwych danych przechowywanych w Secretach Kubernetes, takich jak hasła, tokeny czy klucze API, co może prowadzić do nieautoryzowanego dostępu do systemów i naruszenia bezpieczeństwa.

Rekomendacja

Należy natychmiast zaktualizować Argo CD do wersji 3.2.11 lub 3.3.9, w zależności od używanej gałęzi. Po aktualizacji zaleca się rotację wszystkich Secretów, które mogły być dostępne dla atakującego.

Oryginalny opis (angielski, źródło NVD)

Argo CD is a declarative, GitOps continuous delivery tool for Kubernetes. From versions 3.2.0 to before 3.2.11 and 3.3.0 to before 3.3.9, there is a missing authorization and data-masking gap in Argo CD's ServerSideDiff endpoint that allows an attacker with read-only access to extract plaintext Kubernetes Secret data from etcd via the Kubernetes API server's Server-Side Apply dry-run mechanism. This issue has been patched in versions 3.2.11 and 3.3.9.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS