Una vulnerabilidad severa en Argo CD permite que tokens de API con permisos básicos accedan a credenciales sensibles de repositorios, poniendo en jaque la confidencialidad de proyectos y aumentando el riesgo de compromisos en CI/CD.

Argo CD, la popular herramienta para la gestión de aplicaciones en Kubernetes, enfrenta un importante incidente de seguridad tras detectarse una vulnerabilidad crítica en su API. La brecha afecta el endpoint /api/v1/projects/{project}/detailed, permitiendo que información sensible como nombres de usuario y contraseñas de repositorios quede expuesta incluso a usuarios con permisos limitados.

El problema radica en un fallo de autorización en el Project API. Cualquier token de API con permisos de «get» sobre proyectos puede solicitar el endpoint detallado, recibiendo como respuesta un objeto JSON que revela en texto claro los datos de acceso a todos los repositorios asociados a ese proyecto. La vulnerabilidad no se restringe a roles específicos, sino que afecta a cualquier usuario o servicio con permisos estándar, exponiendo más de lo previsto por el modelo de seguridad.

Las credenciales filtradas abren la puerta al robo de código fuente, manipulación de pipelines CI/CD y escaladas de privilegio dentro de la infraestructura de desarrollo. Además, actores maliciosos podrían exfiltrar datos confidenciales o inyectar código malicioso en etapas críticas del ciclo de vida de software.

Mitigar este riesgo exige la actualización inmediata de Argo CD a una versión corregida (v3.1.2, v3.0.14, v2.14.16 o v2.13.9). Adicionalmente, se recomienda auditar tokens API existentes, revocar los innecesarios y revisar cuidadosamente los logs en busca de accesos sospechosos al endpoint vulnerado. Fortalecer la segmentación de roles y aplicar políticas mínimas de privilegios resultan cruciales en infraestructuras CI/CD.La rápida propagación de la vulnerabilidad destaca la importancia de monitorizar y actualizar plataformas críticas. Quienes utilicen Argo CD deben actuar con urgencia: parchear, revocar accesos no imprescindibles y verificar la exposición histórica de credenciales para contener daños colaterales.

Tomado de unaaldia.hispasec.com