Die Schwachstelle betrifft Argo CD, ein deklaratives GitOps-Werkzeug zur kontinuierlichen Auslieferung von Anwendungen in Kubernetes-Umgebungen. Der Fehler steckt in der API-Schnittstelle, über die Projektdetails abgerufen werden. Über diesen Endpunkt lassen sich vertrauliche Zugangsdaten für angebundene Repositories – etwa Benutzernamen und Passwörter – auslesen. Möglich wird das durch ein API-Token, das lediglich über Berechtigungen auf Projektebene verfügt, also nur zur normalen Verwaltung von Anwendungen gedacht ist und keinen ausdrücklichen Zugriff auf Geheimnisse besitzt. Betroffen sind dabei nicht nur projektbezogene Rechte: Bereits ein Token mit der Berechtigung, Projekte abzurufen, reicht aus – einschließlich global vergebener Leserechte für Projekte. Ein Angreifer mit einem solchen eingeschränkten Token kann sich damit die hinterlegten Repository-Anmeldedaten verschaffen und diese Zugänge missbrauchen, um auf die verknüpften Quellcode-Repositories zuzugreifen.
Erwähnt in
Artikel und Wochenreports, die diese Schwachstelle behandeln- Artikel Ungepatchte Argo-CD-Lücke im Repo-Server bedroht Kubernetes-Cluster 01.07.2026