Kerentanan Kritis Argo CD Bocorkan Kredensial Repository

Sebuah kerentanan kritis di Argo CD, alat Kubernetes-native continuous deployment (CD) dan GitOps, terungkap dapat mengekspos kredensial repository sensitif meskipun hanya dengan token API berizin rendah.

Detail Kerentanan

• ID: CVE-2025-55190
• Skor CVSS v3: 10.0 (maksimum severity)
• Dampak: Token API dengan izin project-level get bisa mengakses endpoint API dan mendapatkan username serta password repository terkait.
• Versi terdampak: Semua rilis hingga Argo CD 2.13.0.

Masalah ini terjadi karena mekanisme isolasi gagal mencegah token dengan hak terbatas mengakses detail proyek yang memuat informasi kredensial.

Potensi Eksploitasi

Dengan kredensial yang terekspos, penyerang bisa:

• Mengkloning kode privat dari repository.
• Menyuntikkan manifest berbahaya.
• Melakukan kompromi lanjutan ke sistem downstream.
• Menyalahgunakan kredensial yang sama untuk sumber daya lain.

Meski eksploitasi tetap membutuhkan token API yang valid, sifatnya yang melibatkan low-privileged token memperbesar peluang ancaman, terutama di lingkungan dengan banyak pengguna.

Dampak ke Perusahaan Besar

Argo CD digunakan oleh perusahaan skala global seperti Adobe, Google, IBM, Intuit, Red Hat, Capital One, hingga BlackRock. Karena itu, kebocoran kredensial langsung ini dapat memicu:

• Pencurian kode sumber.
• Ekstorsi digital.
• Serangan supply chain yang berdampak luas.

Patch dan Mitigasi

Kerentanan ini ditemukan oleh Ashish Goyal dan telah diperbaiki dalam rilis berikut:

• 3.1.2
• 3.0.14
• 2.14.16
• 2.13.9

Administrator sangat disarankan untuk segera memperbarui ke versi yang telah ditambal agar terhindar dari eksploitasi.

Sumber: Argo Project