つみかさね

CVE-2026-43824

High(7.7)

CVE-2026-43824 — Argo CD ServerSideDiff機能によるSecret情報漏洩

公開日: 2026-05-03データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Argo CDArgoproj>= 3.2.0, <= 3.2.10
Argo CDArgoproj>= 3.3.0, <= 3.3.8

対応ガイド

high|推奨セキュリティ修正影響: 広範

推奨アクション

  1. 1Argo CDのバージョンを確認する
  2. 23.2.11以降または3.3.9以降へアップデートする
  3. 3ServerSideDiff機能の利用状況を確認する
  4. 4Kubernetes Secretに格納された認証情報のローテーションを検討する

影響対象

Argo CD 3.2.x / 3.3.x利用者

補足

  • -Kubernetes環境で機密情報を管理している場合は優先的に対応すること
CVEArgo CDKubernetes情報漏洩

概要

Argo CDのバージョン3.2.0から3.2.10および3.3.0から3.3.8において、ServerSideDiff機能にKubernetes Secretの平文データが読み取り可能になる情報漏洩の脆弱性が存在します。

本来Argo CDはKubernetes Secretの内容を適切にマスキングして表示する設計ですが、ServerSideDiff機能を使用した差分表示において、このマスキング処理が正しく適用されず、Secretリソースの平文データがユーザーに表示されてしまいます。これはCWE-212(機密情報の不適切な除去)に分類される脆弱性です。

Argo CDはKubernetesエコシステムにおけるGitOps型継続的デリバリーツールとして広く普及しており、データベースの認証情報やAPIキーなどの機密情報がSecretに格納されていることが一般的です。この脆弱性により、本来アクセス権のないユーザーがこれらの機密情報を閲覧できる可能性があり、影響範囲は広いと考えられます。

CVSSベクトル

指標
CVSSスコア7.7
深刻度High
CWECWE-212(機密情報の不適切な除去)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な特権レベル

影響を受けるソフトウェア

  • Argo CD 3.2.0 から 3.2.10
  • Argo CD 3.3.0 から 3.3.8

修正バージョンと回避策

  • Argo CD 3.2.11以降、または3.3.9以降へアップデートしてください
  • アップデートまでの間、ServerSideDiff機能を無効化することで脆弱性の影響を緩和できます
  • Argo CDへのユーザーアクセス権限を必要最小限に見直すことも推奨されます

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-43824
GitHub Advisory:https://github.com/argoproj/argo-cd/security/advisories/GHSA-3v3m-wc6v-x4x3
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。