Die Schwachstelle betrifft Argo CD, ein deklaratives GitOps-Werkzeug für die kontinuierliche Auslieferung von Anwendungen in Kubernetes-Umgebungen. Der Defekt sitzt im ServerSideDiff-Endpunkt: Dort fehlt eine Berechtigungsprüfung, und sensible Werte werden nicht wie vorgesehen maskiert. Dadurch kann ein Angreifer, der lediglich über einen Lesezugriff verfügt, an den Klartextinhalt von Kubernetes-Secrets gelangen. Ausgenutzt wird dies über den Server-Side-Apply-Mechanismus des Kubernetes-API-Servers: Über dessen Probelauf (Dry-Run) lassen sich die eigentlich vertraulichen Secret-Daten aus dem zentralen Konfigurationsspeicher etcd auslesen. Kritisch ist, dass hierfür keine erhöhten Rechte nötig sind – die reine Leseberechtigung genügt, um Zugangsdaten, Schlüssel oder andere Geheimnisse offenzulegen, die eigentlich vor Nutzern mit eingeschränkten Rechten verborgen sein sollten. Betroffen sind bestimmte Versionsstände von Argo CD, für die der Hersteller korrigierte Fassungen bereitstellt.
Erwähnt in
Artikel und Wochenreports, die diese Schwachstelle behandeln- Artikel Ungepatchte Argo-CD-Lücke im Repo-Server bedroht Kubernetes-Cluster 01.07.2026