プラットフォーム
kubernetes
コンポーネント
argocd-image-updater
修正版
1.10.0
2.5.4
ArgoCD Image Updater には、テナント環境において、ImageUpdater リソースの作成または変更権限を持つ攻撃者が、名前空間の境界をバイパスできる脆弱性が存在します。不十分な検証により、攻撃者は他のテナントが管理するアプリケーションへの不正なイメージ更新をトリガーできます。この脆弱性は、アプリケーションの整合性に影響を与える可能性のあるクロス名前空間の特権昇格につながります。影響を受けるバージョンは 1.0.0 から 2.5.3 であり、バージョン 2.5.4 で修正されています。
Red Hat OpenShift GitOps で使用されている ArgoCD Image Updater の CVE-2026-6388 は、マルチテナント環境において重大なリスクをもたらします。ImageUpdater リソースの作成または変更の権限を持つ攻撃者は、名前空間の境界をバイパスできます。これは、不十分な検証が原因で発生し、他のテナントが管理するアプリケーションで不正なイメージ更新をトリガーする可能性があります。その結果、名前空間間の権限昇格が発生し、不正なアプリケーション更新によってアプリケーションの整合性が損なわれます。CVSS スコアは 9.1 であり、重大な影響と高い悪用可能性を示しています。このリスクを軽減するために、バージョン 2.5.4 以降にアップグレードすることを強くお勧めします。
権限を持つ名前空間内の攻撃者は、これらのリソースの構成を操作して、他の名前空間内のイメージをターゲットにすることができます。検証の欠如を利用することで、攻撃者は自分が制御していないアプリケーションのイメージを更新することを強制し、悪意のあるコードを注入したり、サービスを中断したりする可能性があります。悪用の複雑さは、攻撃者の権限レベルと名前空間の構成によって異なります。ただし、名前空間のセキュリティをバイパスする容易さにより、この脆弱性はマルチテナント環境で特に懸念されます。
エクスプロイト状況
EPSS
0.03% (9% パーセンタイル)
CISA SSVC
CVE-2026-6388 の主な軽減策は、ArgoCD Image Updater をバージョン 2.5.4 以降にアップグレードすることです。このバージョンには、不十分な検証に対処し、名前空間間の権限昇格を防ぐために必要な修正が含まれています。さらに、悪用される可能性のある誤った構成を特定するために、既存の ImageUpdater リソースをすべて確認および監査する必要があります。ImageUpdater リソースの作成または変更を行うユーザーの権限を制限するための厳格なアクセス制御ポリシーを実装することが、重要な予防措置となります。イメージ更新に関連する疑わしいアクティビティについて ArgoCD ログを監視することで、潜在的な攻撃を検出し、対応することができます。
Actualice Argocd Image Updater a la versión 2.5.4 o superior. Esta versión corrige la validación insuficiente de los espacios de nombres, previniendo la escalada de privilegios entre espacios de nombres y asegurando la integridad de las aplicaciones.
脆弱性分析と重要アラートをメールでお届けします。
ArgoCD Image Updater は、ArgoCD によって管理されるアプリケーションのコンテナイメージの更新を自動化するツールです。
バージョン 2.5.4 は、CVE-2026-6388 脆弱性を修正し、名前空間間の権限昇格を可能にします。
厳格なアクセス制御を実装し、ArgoCD ログを疑わしいアクティビティについて監視します。
使用している ArgoCD Image Updater のバージョンを確認してください。2.5.4 より前の場合は、脆弱です。
現在までに、バージョン 2.5.4 へのアップグレード後に機能的な悪影響は報告されていません。
CVSS ベクトル