Argo Cd

Falha crítica no Argo CD permite execução de código não autenticado

Um grave problema de segurança foi identificado no Argo CD, uma ferramenta amplamente utilizada para implantações em Kubernetes. A falha, localizada no componente repo-server, permite que um atacante não autenticado execute código, desde que consiga acessar a porta interna do componente. A empresa Synacktiv, que descobriu a vulnerabilidade, alertou os mantenedores do Argo CD em janeiro de 2025, mas, após dezoito meses, a falha continua sem correção e não possui um CVE atribuído.

Falha crítica na API do Argo CD expõe credenciais de repositórios

Uma vulnerabilidade crítica foi identificada na plataforma Argo CD, amplamente utilizada para entrega contínua em ambientes Kubernetes. Essa falha permite que tokens de API com permissões básicas de projeto acessem credenciais sensíveis de repositórios, incluindo nomes de usuário e senhas. A vulnerabilidade, designada como GHSA-786q-9hcg-v9ff, foi revelada pelo pesquisador de segurança Michael Crenshaw e afeta todas as versões do Argo CD a partir da 2.2.0-rc1.

O problema ocorre no endpoint da API de detalhes do projeto (/api/v1/projects/{project}/detailed), onde tokens com permissões padrão podem recuperar credenciais sem a necessidade de acesso explícito a segredos. Isso representa uma séria escalada de privilégios, pois tokens destinados a operações rotineiras de aplicação obtêm acesso não autorizado a dados de autenticação sensíveis. A falha não se limita apenas a permissões de nível de projeto, mas também se estende a qualquer token com permissões de obtenção de projeto, aumentando o impacto potencial em implementações empresariais do Argo CD.