概要
Argo CD は Kubernetes 環境における GitOps の継続的デリバリーツールとして広く採用されています。Git リポジトリに定義されたマニフェストとクラスターの実際の状態を同期し、宣言的なアプリケーション管理を実現します。
この脆弱性は ServerSideDiff 機能に存在します。ServerSideDiff は Kubernetes のサーバーサイド Apply を利用してマニフェストの差分を計算する機能ですが、この処理において Kubernetes Secret のデータがクリアテキスト(平文)で返却されてしまいます。通常 Argo CD は Secret の内容をマスクして表示しますが、ServerSideDiff 機能を経由することでこの保護が迂回されます。
GitOps ワークフローで Kubernetes Secrets を管理している環境では、Argo CD の UI やAPI を通じて機密情報(データベースパスワード、API キー、TLS 証明書など)が漏洩するリスクがあります。Argo CD 3.2.x または 3.3.x を使用している場合は、修正バージョンへのアップデートを推奨します。
CVSSベクトル
| 指標 | 値 |
|---|---|
| CVSSスコア | 7.7 |
| 深刻度 | High |
| CWE | CWE-212 (不適切な情報アクセス制限) |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な特権レベル | 低(Argo CD ユーザー) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| Argo CD | Argoproj | 3.2.0 〜 3.2.10 |
| Argo CD | Argoproj | 3.3.0 〜 3.3.8 |
修正バージョンと回避策
- Argo CD 3.2.11 または 3.3.9 へアップデートしてください
- アップデートが困難な場合は、ServerSideDiff 機能を無効化することで回避できます
- Kubernetes Secrets の管理には External Secrets Operator や Sealed Secrets などの専用ツールの併用を検討してください
関連リンク
データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。