CRITICAL🇬🇧 English

CVE-2025-47933

XSS w Argo CD — wykonanie akcji w imieniu ofiary via API

CVSS 9.0v3.1pub. 2025-05-29upd. 2025-08-27

Argo CD przed wersjami 2.13.8, 2.14.13 i 3.0.4 zawiera podatność typu XSS wynikającą z nieprawidłowego filtrowania protokołów URL na stronie repozytorium. Atakujący posiadający uprawnienia do edycji repozytorium może wykonywać dowolne akcje w imieniu ofiary poprzez API.

Pokaż oryginał (EN)

Argo CD is a declarative, GitOps continuous delivery tool for Kubernetes. Prior to versions 2.13.8, 2.14.13, and 3.0.4, an attacker can perform arbitrary actions on behalf of the victim via the API. Due to the improper filtering of URL protocols in the repository page, an attacker can achieve cross-site scripting with permission to edit the repository. This issue has been patched in versions 2.13.8, 2.14.13, and 3.0.4.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowego filtrowania protokołów URL na stronie repozytorium w Argo CD. Atakujący z uprawnieniami do edycji repozytorium może wstrzyknąć złośliwy payload XSS. Po wejściu ofiary na odpowiednią stronę, payload wykonuje się w jej przeglądarce i pozwala atakującemu na wysyłanie żądań do API Argo CD w kontekście sesji ofiary. Dzięki temu atakujący może przejąć kontrolę nad akcjami wykonywanymi przez ofiarę w aplikacji.

Skutki

Atakujący może wykonywać dowolne akcje poprzez API Argo CD w imieniu zalogowanej ofiary, potencjalnie uzyskując dostęp do poufnych danych konfiguracyjnych, modyfikując zasoby Kubernetes lub eskalując uprawnienia w środowisku GitOps.

Mitygacja

Należy zaktualizować Argo CD do wersji 2.13.8, 2.14.13 lub 3.0.4, w których podatność została naprawiona. Dodatkowo warto ograniczyć uprawnienia do edycji repozytoriów wyłącznie do zaufanych użytkowników.

Kogo dotyczy

Argo CD w wersjach wcześniejszych niż 2.13.8, 2.14.13 oraz 3.0.4

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H
  • Argoproj Argo Cd

    APP
    Argoproj
    1.2.01.2.1 – 2.13.8 (bez)2.14.0 – 2.14.13 (bez)3.0.0 – 3.0.4 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
XSSContainer
CWE
Referencje

Powiązane podatności

CVE-2026-42880CRITICAL9.6PL ✓ten sam produkt

Argo CD: ujawnienie danych Secret Kubernetes przez endpoint ServerSideDiff

CVE-2025-55190CRITICAL9.9PL ✓ten sam produkt

Argo CD: nieuprawniony dostęp do poświadczeń repozytoriów przez API token

CVE-2024-31989CRITICAL9.0PL ✓ten sam produkt

Argo CD: nieautoryzowany dostęp do Redis umożliwia privilege escalation

CVE-2024-21652CRITICAL9.8PL ✓ten sam produkt

Argo CD: Ominięcie ochrony przed brute force logowania

CVE-2024-28175CRITICAL9.0PL ✓ten sam produkt

Argo CD: XSS w adnotacjach linków umożliwia przejęcie uprawnień

CVE-2025-47933 — XSS w Argo CD — wykonanie akcji w imieniu ofiary via API — CRITICAL 9.0 | CVEbaza.pl