つみかさね

CVE-2026-42880

Critical(9.6)

CVE-2026-42880 — Argo CD ServerSideDiff Kubernetes Secret漏洩

公開日: 2026-05-12データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Argo CDArgoprojv3.2.0 〜 v3.2.10
Argo CDArgoprojv3.3.0 〜 v3.3.8

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1Argo CDのバージョンを確認する
  2. 2v3.2.x系はv3.2.11へ、v3.3.x系はv3.3.9へアップデートする
  3. 3アップデートが困難な場合はServerSideDiff機能を無効化する
  4. 4シークレット漏洩の有無をログで確認し、必要に応じてSecretのローテーションを実施する

影響対象

Argo CD利用者Kubernetesクラスタ管理者

補足

  • -Kubernetes Secretが漏洩するため、対応後にSecretのローテーションも推奨
CVEArgo CDKubernetesGitOps情報漏洩

概要

Argo CDはKubernetes向けの宣言的GitOps継続的デリバリーツールです。ServerSideDiff機能において、認可チェックの欠落およびデータマスキングの不備が存在します。この脆弱性により、本来アクセス権限のないユーザーがKubernetes Secretの内容を取得できてしまいます。

Kubernetes Secretにはデータベース接続情報、APIキー、TLS証明書などの機密データが格納されることが多く、これらが漏洩した場合の影響は甚大です。Argo CDを利用してKubernetesクラスタを管理している環境では、速やかにバージョンアップを実施してください。

CVSSベクトル

項目
CVSSスコア9.6(Critical)
CWECWE-200 / CWE-212(情報漏洩)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な特権レベル

影響を受けるソフトウェア

製品ベンダー影響バージョン
Argo CDArgoprojv3.2.0 〜 v3.2.10
Argo CDArgoprojv3.3.0 〜 v3.3.8

修正バージョンと回避策

  • v3.2系: v3.2.11 へアップデート
  • v3.3系: v3.3.9 へアップデート
  • 回避策: アップデートが困難な場合は、ServerSideDiff機能の無効化を検討してください

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-42880
GHSA:https://github.com/argoproj/argo-cd/security/advisories/GHSA-3v3m-wc6v-x4x3
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。