PT-2025-40056 · Argo Cd · Argo Cd

Jake-Ciolek

+1

·

Publicado

2025-09-30

·

Atualizado

2026-05-18

·

CVE-2025-59537

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas Versões do Argo CD 1.2.0 a 1.8.7 Versões do Argo CD 2.0.0-rc1 a 2.14.19 Versões do Argo CD 3.0.0-rc1 a 3.2.0-rc1 Versão do Argo CD 3.1.7 Versão do Argo CD 3.0.18
Descrição O Argo CD está suscetível a requisições de API maliciosas que podem levar a uma negação de serviço, causando a falha do servidor de API e interrompendo o serviço para usuários legítimos. Especificamente, o endpoint /api/webhook é vulnerável quando o webhook.gogs.secret não está configurado. Neste cenário, receber um evento de push do Gogs com um campo JSON commits[].repo ausente ou nulo causa a falha do processo argocd-server. A função affectedRevisionInfo carece de validação adequada da estrutura de dados para tipos de eventos de webhook, permitindo que um atacante explore isso enviando dados manipulados. A vulnerabilidade reside na função Handler, que analisa mensagens do tipo webhook com base nos parâmetros header e body. A função Parse desserializa mensagens do tipo JSON sem validação estrita. Um atacante pode enviar repetidamente requisições não autenticadas para o endpoint /api/webhook para causar uma negação de serviço.
Recomendações Para as versões 1.2.0 a 1.8.7, configure um segredo de webhook para garantir que apenas partes confiáveis possam invocar o manipulador de webhook. Para as versões 2.0.0-rc1 a 2.14.19, configure um segredo de webhook para garantir que apenas partes confiáveis possam invocar o manipulador de webhook. Para as versões 3.0.0-rc1 a 3.2.0-rc1, configure um segredo de webhook para garantir que apenas partes confiáveis possam invocar o manipulador de webhook. Para a versão 3.1.7, configure um segredo de webhook para garantir que apenas partes confiáveis possam invocar o manipulador de webhook. Para a versão 3.0.18, configure um segredo de webhook para garantir que apenas partes confiáveis possam invocar o manipulador de webhook. Se o Gogs não for utilizado, defina o webhook.gogs.secret para um valor longo e aleatório para desabilitar o processamento de payload do Gogs.

Exploit

Correção

DoS

RCE

NULL Pointer Dereference

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-20CWE-476

Identificadores relacionados

BIT-ARGO-CD-2025-59537
CLEANSTART-2026-AC12204
CLEANSTART-2026-AJ16639
CLEANSTART-2026-BD53293
CLEANSTART-2026-BH97849
CLEANSTART-2026-CZ81512
CLEANSTART-2026-DR75226
CLEANSTART-2026-DZ05206
CLEANSTART-2026-EC15228
CLEANSTART-2026-ER93728
CLEANSTART-2026-FF20499
CLEANSTART-2026-FF98917
CLEANSTART-2026-GL70025
CLEANSTART-2026-GQ03231
CLEANSTART-2026-IO04548
CLEANSTART-2026-JD75482
CLEANSTART-2026-JO01099
CLEANSTART-2026-JR48309
CLEANSTART-2026-JU62670
CLEANSTART-2026-JW58725
CLEANSTART-2026-KU65968
CLEANSTART-2026-KZ60560
CLEANSTART-2026-LS98939
CLEANSTART-2026-LU21824
CLEANSTART-2026-MA32024
CLEANSTART-2026-NJ43712
CLEANSTART-2026-NP17404
CLEANSTART-2026-NP19113
CLEANSTART-2026-NT80635
CLEANSTART-2026-NV34418
CLEANSTART-2026-OA33370
CLEANSTART-2026-OX06978
CLEANSTART-2026-PN58989
CLEANSTART-2026-QB67682
CLEANSTART-2026-QC30410
CLEANSTART-2026-QF85840
CLEANSTART-2026-QK02462
CLEANSTART-2026-TT42218
CLEANSTART-2026-UO76615
CLEANSTART-2026-VJ77782
CLEANSTART-2026-VY87942
CLEANSTART-2026-WP10148
CLEANSTART-2026-WQ07901
CLEANSTART-2026-XR85161
CLEANSTART-2026-YQ79300
CLEANSTART-2026-YW12690
CVE-2025-59537
GHSA-WP4P-9PXH-CGX2
GO-2025-3996
OPENSUSE-SU-2025:15666-1
SUSE-SU-2025:3799-1

Produtos afetados

Argo Cd