CVE-2026-42880

Nome do Software Vulnerável e Versões Afetadas Argo CD versões 3.2.0 a 3.2.10 Argo CD versões 3.3.0 a 3.3.8

Descrição Existe uma falha de autorização e de mascaramento de dados no endpoint '/application.ApplicationService/ServerSideDiff'. Isso permite que um invasor com acesso apenas de leitura extraia dados de Segredos (Secrets) do Kubernetes em texto simples do etcd, por meio do mecanismo de dry-run do Server-Side Apply do servidor de API do Kubernetes. O problema ocorre porque a função ServerSideDiff() constrói respostas utilizando estados brutos e não mascarados. Embora uma camada de defesa chamada removeWebhookMutation() normalmente remova campos não gerenciados pelo Argo CD para evitar vazamentos, essa proteção é ignorada quando uma Aplicação possui a anotação argocd.argoproj.io/compare-options: IncludeMutationWebhook=true. Nesses casos, as respostas brutas contendo valores reais de Segredos são retornadas sem mascaramento.

Recomendações Atualize o Argo CD versões 3.2.0 a 3.2.10 para a versão 3.2.11. Atualize o Argo CD versões 3.3.0 a 3.3.8 para a versão 3.3.9. Como mitigação temporária, evite usar a anotação argocd.argoproj.io/compare-options: IncludeMutationWebhook=true em Aplicações para garantir que a defesa removeWebhookMutation() permaneça ativa.