7 de septiembre de 2025

Argo CD: vulnerabilidad en API expone credenciales con permisos básicos

Una vulnerabilidad severa en Argo CD permite que tokens de API con permisos básicos accedan a credenciales sensibles de repositorios, poniendo en jaque la confidencialidad de proyectos y aumentando el riesgo de compromisos en CI/CD.

Diagrama conceptual del API de Argo CD mostrando la filtración de credenciales entre aplicaciones y proyectos.
Argo CD, la popular herramienta para la gestión de aplicaciones en Kubernetes, enfrenta un importante incidente de seguridad tras detectarse una vulnerabilidad crítica en su API. La brecha afecta el endpoint /api/v1/projects/{project}/detailed, permitiendo que información sensible como nombres de usuario y contraseñas de repositorios quede expuesta incluso a usuarios con permisos limitados.

El problema radica en un fallo de autorización en el Project API. Cualquier token de API con permisos de «get» sobre proyectos puede solicitar el endpoint detallado, recibiendo como respuesta un objeto JSON que revela en texto claro los datos de acceso a todos los repositorios asociados a ese proyecto. La vulnerabilidad no se restringe a roles específicos, sino que afecta a cualquier usuario o servicio con permisos estándar, exponiendo más de lo previsto por el modelo de seguridad.

Las credenciales filtradas abren la puerta al robo de código fuente, manipulación de pipelines CI/CD y escaladas de privilegio dentro de la infraestructura de desarrollo. Además, actores maliciosos podrían exfiltrar datos confidenciales o inyectar código malicioso en etapas críticas del ciclo de vida de software.

Mitigar este riesgo exige la actualización inmediata de Argo CD a una versión corregida (v3.1.2, v3.0.14, v2.14.16 o v2.13.9). Adicionalmente, se recomienda auditar tokens API existentes, revocar los innecesarios y revisar cuidadosamente los logs en busca de accesos sospechosos al endpoint vulnerado. Fortalecer la segmentación de roles y aplicar políticas mínimas de privilegios resultan cruciales en infraestructuras CI/CD.

La rápida propagación de la vulnerabilidad destaca la importancia de monitorizar y actualizar plataformas críticas. Quienes utilicen Argo CD deben actuar con urgencia: parchear, revocar accesos no imprescindibles y verificar la exposición histórica de credenciales para contener daños colaterales.

Más información

La entrada Argo CD: vulnerabilidad en API expone credenciales con permisos básicos se publicó primero en Una Al Día.


☞ El artículo completo original de Hispasec lo puedes ver aquí
Publicado a las 8:55 a.m.

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)