Die Schwachstelle betrifft Argo CD, ein deklaratives GitOps-Werkzeug für die kontinuierliche Auslieferung von Anwendungen in Kubernetes-Clustern. Zu Argo CD gehört ein Redis-Server, der intern auf einem festen Netzwerk-Port erreichbar ist. Das Problem: Ein unprivilegierter Pod in einem anderen Namespace desselben Clusters kann eine Verbindung zu diesem Redis-Server aufbauen, weil die Kommunikation standardmäßig nicht durch Netzwerkrichtlinien eingeschränkt ist. Selbst wenn das für die Durchsetzung solcher Richtlinien nötige Netzwerk-Plugin installiert ist, muss dessen Funktion erst manuell über die Konfiguration aktiviert werden – andernfalls steht der Redis-Server ungeschützt offen. Viele Betreiber dürften deshalb unwissentlich einen frei zugänglichen Redis-Dienst betreiben. Über diesen Zugang kann ein Angreifer Daten aus dem Redis-Speicher abgreifen oder seine Rechte bis auf die Ebene des Cluster-Controllers ausweiten und damit weitreichende Kontrolle über den Cluster erlangen. Betroffen ist jeder, der keine strengen Zugriffskontrollen für seine Redis-Instanz eingerichtet hat.
Erwähnt in
Artikel und Wochenreports, die diese Schwachstelle behandeln- Artikel Ungepatchte Argo-CD-Lücke im Repo-Server bedroht Kubernetes-Cluster 01.07.2026