CVE-2025-59531

Nome do Software Vulnerável e Versões Afetadas Versões do Argo CD de 1.2.0 a 1.8.7 Versões do Argo CD de 2.0.0-rc1 a 2.14.19 Versões do Argo CD de 3.0.0-rc1 a 3.2.0-rc1 Versão 3.1.7 do Argo CD Versão 3.0.18 do Argo CD

Descrição O Argo CD está suscetível a negação de serviço através de requisições de API maliciosas. Especificamente, quando um webhook.bitbucketserver.secret não está configurado, o endpoint /api/webhook falha ao receber um payload malformado do Bitbucket Server onde o campo repository.links.clone não é um array. Uma única requisição não autenticada pode fazer com que o servidor da API entre em um estado CrashLoopBackOff, e atingir todas as réplicas pode resultar em uma indisponibilidade completa da API. O problema origina-se de uma assertiva de tipo insegura dentro do arquivo webhook.go, que entra em panic quando o tipo de array esperado não é atendido. Uma prova de conceito (PoC) demonstra que enviar um payload JSON manipulado para o endpoint /api/webhook pode acionar esse panic e derrubar o servidor.

Recomendações Para as versões do Argo CD de 1.2.0 a 1.8.7, configure um webhook.bitbucketserver.secret para garantir que apenas partes confiáveis possam invocar o manipulador de webhook. Para as versões do Argo CD de 2.0.0-rc1 a 2.14.19, configure um webhook.bitbucketserver.secret para garantir que apenas partes confiáveis possam invocar o manipulador de webhook. Para as versões do Argo CD de 3.0.0-rc1 a 3.2.0-rc1, configure um webhook.bitbucketserver.secret para garantir que apenas partes confiáveis possam invocar o manipulador de webhook. Para a versão 3.1.7 do Argo CD, configure um webhook.bitbucketserver.secret para garantir que apenas partes confiáveis possam invocar o manipulador de webhook. Para a versão 3.0.18 do Argo CD, configure um webhook.bitbucketserver.secret para garantir que apenas partes confiáveis possam invocar o manipulador de webhook. Se o Bitbucket Server não for utilizado, defina o webhook.bitbucketserver.secret para um valor longo e aleatório para efetivamente desabilitar o tratamento de webhook para payloads do Bitbucket Server.