Argo CD: Kubernetes Secret Extraction via ArgoCD ServerSideDiff via sensitive annotations — CVE-2026-45737

GitHub · GitHub · CVE-2026-45737

ID
CVE-2026-45737

Date
2026-05-19

Activity
2026-05-19

Source
GitHub

Fournisseur
GitHub

Risque
medium

CVSS
6.3

Résumé

### Summary The original fix for [GHSA-3v3m-wc6v-x4x3](https://github.com/argoproj/argo-cd/security/advisories/GHSA-3v3m-wc6v-x4x3) is incomplete. argocd app diff --server-side-diff can still expose Kubernetes Secret values embedded in the kubectl.kubernetes.io/last-applied-configuration annotation. The prior fix masks top-level Secret data in ServerSideDiff responses, but it does not fully sanitize Secret data…

Produit

go: github.com/argoproj/argo-cd/v3

Que faire

Mesures générales et prudentes (vérifiez les détails dans la source officielle) :

Évaluez l’exposition et planifiez la remédiation selon le risque et l’environnement.
Identifiez les versions affectées dans votre inventaire et vérifiez si vous êtes concerné.
Appliquez les correctifs/mises à jour du fournisseur ou les atténuations recommandées.
Consultez l’avis officiel pour les versions affectées et les étapes de remédiation.