CVE-2025-55191

Nome do Software Vulnerável e Versões Afetadas Versões do Argo CD de 2.1.0 a 2.14.19 Versões do Argo CD de 3.0.0-rc1 a 3.0.18 Versões do Argo CD de 3.1.0-rc1 a 3.1.7 Versão do Argo CD 3.2.0-rc1

Descrição O Argo CD, uma ferramenta de entrega contínua GitOps declarativa para Kubernetes, está suscetível a uma condição de corrida em seu manipulador de credenciais de repositório. Essa condição ocorre quando operações simultâneas são executadas na mesma URL de repositório, potencialmente causando um panic e falha no servidor do Argo CD. O problema reside em manipuladores relacionados ao repositório dentro do arquivo util/db/repository secrets.go, especificamente em funções como secretToRepoCred. A condição de corrida origina-se do acesso simultâneo a mapas sem a proteção adequada de mutex, desencadeada por operações de credenciais de repositório (criar, atualizar ou excluir) juntamente com ressincronizações de informer do Kubernetes e watchers em segundo plano. A exploração requer um token de API válido com permissões de recurso repositories, permitindo que atacantes acionem repetidamente a condição e mantenham um estado de negação de serviço, interrompendo operações GitOps.

Recomendações Atualize para a versão 2.14.20 ou posterior do Argo CD. Atualize para a versão 3.0.19 ou posterior do Argo CD. Atualize para a versão 3.1.8 ou posterior do Argo CD. Atualize para a versão 3.2.0-rc2 ou posterior do Argo CD.