Vulnerabilidad en Argo CD de Argoproj (CVE-2025-55191)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-362
Ejecución concurrente utilizando recursos compartidos con una incorrecta sincronización (Condición de carrera)
Fecha de publicación:
30/09/2025
Última modificación:
07/10/2025
Descripción
Argo CD es una herramienta de entrega continua declarativa, GitOps para Kubernetes. Las versiones entre 2.1.0 y 2.14.19, 3.2.0-rc1, 3.1.0-rc1 hasta 3.1.7, y 3.0.0-rc1 hasta 3.0.18 contienen una condición de carrera en el manejador de credenciales del repositorio que puede causar que el servidor Argo CD entre en pánico y falle cuando se realizan operaciones concurrentes en la misma URL del repositorio. La vulnerabilidad se encuentra en numerosos manejadores relacionados con el repositorio en el archivo util/db/repository_secrets.go. Se requiere un token de API válido con permisos de recurso de repositorios (acciones de creación, actualización o eliminación) para activar la condición de carrera. Esta vulnerabilidad causa que todo el servidor Argo CD falle y quede no disponible. Los atacantes pueden activar repetida y continuamente la condición de carrera para mantener un estado de denegación de servicio, interrumpiendo todas las operaciones GitOps. Este problema se soluciona en las versiones 2.14.20, 3.2.0-rc2, 3.1.8 y 3.0.19.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:argoproj:argo_cd:*:*:*:*:*:*:*:* | 2.1.0 (incluyendo) | 2.14.20 (excluyendo) |
| cpe:2.3:a:argoproj:argo_cd:*:*:*:*:*:*:*:* | 3.0.0 (incluyendo) | 3.0.19 (excluyendo) |
| cpe:2.3:a:argoproj:argo_cd:*:*:*:*:*:*:*:* | 3.1.0 (incluyendo) | 3.1.8 (excluyendo) |
| cpe:2.3:a:argoproj:argo_cd:3.2.0:rc1:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página