Credenciais Expostas

Uma vulnerabilidade crítica foi identificada na plataforma Argo CD, amplamente utilizada para entrega contínua em ambientes Kubernetes. Essa falha permite que tokens de API com permissões básicas de projeto acessem credenciais sensíveis de repositórios, incluindo nomes de usuário e senhas. A vulnerabilidade, designada como GHSA-786q-9hcg-v9ff, foi revelada pelo pesquisador de segurança Michael Crenshaw e afeta todas as versões do Argo CD a partir da 2.2.0-rc1.

O problema ocorre no endpoint da API de detalhes do projeto (/api/v1/projects/{project}/detailed), onde tokens com permissões padrão podem recuperar credenciais sem a necessidade de acesso explícito a segredos. Isso representa uma séria escalada de privilégios, pois tokens destinados a operações rotineiras de aplicação obtêm acesso não autorizado a dados de autenticação sensíveis. A falha não se limita apenas a permissões de nível de projeto, mas também se estende a qualquer token com permissões de obtenção de projeto, aumentando o impacto potencial em implementações empresariais do Argo CD.

Recentemente, a Tencent Cloud, um dos maiores provedores de nuvem da Ásia, enfrentou uma grave violação de segurança que expôs credenciais de login e código-fonte interno. Pesquisadores de segurança da Cybernews identificaram ‘severas desconfigurações’ em dois sites da Tencent, que permitiram o acesso público a arquivos sensíveis, incluindo credenciais codificadas e um diretório .git que continha todo o histórico de um projeto de software. A investigação revelou que esses dados estavam acessíveis por meses, desde abril de 2025, levantando preocupações sobre o uso malicioso das informações. As credenciais expostas eram fracas e vulneráveis a ataques de dicionário, aumentando o risco de acesso não autorizado a sistemas internos da Tencent Cloud. Embora a empresa tenha corrigido a falha após ser notificada, a extensão do acesso anterior levanta questões sobre a segurança de dados de seus clientes. Especialistas alertam que a situação pode ter permitido que bots de scraping acessassem dados críticos, potencialmente comprometendo a infraestrutura de backend da Tencent.