Lỗ hổng trong Argo CD: Token quyền thấp vẫn có thể truy xuất thông tin nhạy cảm

[Nguyễn Thùy Linh]

Argo CD là công cụ GitOps phổ biến giúp tự động triển khai ứng dụng từ Git lên Kubernetes, được nhiều tập đoàn lớn như Google, IBM, Adobe, Red Hat sử dụng. Tuy nhiên, mới đây một lỗ hổng trong hệ thống này (CVE-2025-55190) đã được công bố, ảnh hưởng đến tất cả các phiên bản trước 2.13.0. Với điểm CVSS 10/10, lỗ hổng này có thể cho phép tài khoản quyền thấp truy cập thông tin mật của hệ thống. Lỗi này cho phép token API có quyền hạn rất thấp (project-level get permissions) truy cập vào các endpoint API...

Đọc bài gốc tại đây