CVE-2026-43824

Nome do Software Vulnerável e Versões Afetadas Argo CD versões 3.2.0 até 3.2.10 Argo CD versões 3.3.0 até 3.3.8

Descrição O endpoint 'ServerSideDiff' permite a exposição de dados de Secrets do Kubernetes em texto claro. Isso ocorre quando a variável IncludeMutationWebhook está definida como true em uma Aplicação. O manipulador executa um dry-run de Server-Side Apply (SSA) do Kubernetes, recupera dados brutos de Secret do etcd e os retorna na resposta da API sem mascaramento ou verificações de autorização além da autenticação básica de login. Os dados são codificados em Base64, o que não constitui criptografia.

Recomendações Atualizar as versões 3.2.0 até 3.2.10 para a versão 3.2.11. Atualizar as versões 3.3.0 até 3.3.8 para a versão 3.3.9. Como mitigação temporária, certifique-se de que a variável IncludeMutationWebhook esteja definida como false ou desativada para todas as Aplicações.