Argo CD不会从补丁错误中清除秘密值CVE-2025-23216

Argo CD 是一种持续交付 (CD) 工具，已在DevOps中流行，用于将应用程序交付到 Kubernetes 上，依赖于一种称为 GitOps 的部署方法。

GitOps简单理解是一种机制，可以从最后已知的 Git 提交版本中拉取最新的代码和应用程序配置，并将其直接部署到 Kubernetes 资源中。

一、基本情况

Argo CD是Kubernetes原生的CD工具，支持和读取各种 Kubernetes 清单文件，如 YAML、Ksonnet、Jsonnet、Helm 图表和 Kustomize。

Argo CD控制平面由应用控制器、 接口服务器、资料库服务组件组成，可以跟踪分支、标签的更新，或在 Git 提交时固定到特定版本清单。

栋科技漏洞库关注到Argo CD交付工具受影响版本中中存在一个漏洞，该漏洞现已被追踪为CVE-2025-23216，该漏洞的CVSS评分为6.8。

二、漏洞分析

CVE-2025-23216是在Argo CD发现的漏洞，当从存储库中同步无效的Kubernetes机密资源时，漏洞会在错误消息和diff视图中暴露机密值。

具体来说，该漏洞的存在会在错误消息和差异视图中暴露秘密值，当从存储库中同步无效的Kubernetes Secret资源时就会出现这种情况。

该漏洞假设用户具有对存储库的写访问权限并可以故意或无意地利用它，通过将无效的Secret提交到存储库并触发同步操作来利用该漏洞。

一旦该漏洞被攻击者利用，任何对Argo CD具有读取权限的用户都可以查看暴露的机密数据，建议受影响用户及时通过版本更新修复漏洞。

三、影响范围

Argo-CD < 2.13.4 及以上版本

Argo-CD <  2.12.10 及以上版本

Argo-CD < 2.11.13 及以上版本

四、修复建议

Argo-CD >= 2.13.4 及以上版本

Argo-CD >=  2.12.10 及以上版本

Argo-CD >= 2.11.13 及以上版本

五、参考链接

此处内容已隐藏，评论后刷新即可查看！