أثار باحثو الأمن السيبراني في شركة Synacktiv مخاوف جدية بعد الكشف عن ثغرة خطيرة في مكوّن repo-server ضمن أداة Argo CD، المستخدمة على نطاق واسع لنشر التطبيقات على بيئات Kubernetes. الثغرة، التي لا تزال بلا إصلاح رسمي أو رقم CVE، تسمح لمهاجم غير موثق بتنفيذ أوامر عن بُعد إذا تمكن من الوصول إلى منفذ الشبكة الداخلي للمكوّن، ما يفتح الباب أمام السيطرة الكاملة على العناقيد.
تفاصيل الثغرة في repo-server
يقوم مكوّن repo-server بقراءة مستودعات Git وتحويلها إلى ملفات تعريفية (manifests) تحدد ما يتم نشره داخل Kubernetes. المشكلة تكمن في خدمة gRPC الداخلية التي تفتقر إلى آليات التحقق من الهوية، مما يسمح لأي طرف بإرسال طلبات مصممة خصيصًا لتنفيذ أوامر. أظهر الباحثون أن الهجوم يستغل أداة kustomize عبر خيار –helm-command، حيث يمكن استبدال المسار إلى ملف helm ببرنامج نصي من مستودع يسيطر عليه المهاجم، ليتم تنفيذه بدلًا من الأداة الأصلية.
ضعف السياسات الشبكية
رغم أن Argo CD يوفر سياسات شبكة لعزل repo-server عن باقي المكونات، إلا أن تثبيت الأداة عبر Helm chart يترك هذه السياسات معطلة افتراضيًا (networkPolicy.create=false). هذا الإعداد يجعل المكوّن عرضة للهجوم إذا تمكن المهاجم من اختراق أي pod داخل العنقود والوصول إلى repo-server.
استغلال أوسع عبر Redis
أثبتت Synacktiv أن الوصول إلى repo-server يمكّن المهاجم من استخراج كلمة مرور Redis المخزنة في متغير بيئي، ثم الاتصال بذاكرة التخزين المؤقت الخاصة بـ Argo CD وتسميم بيانات النشر. عند المزامنة التالية، يقوم النظام بنشر حمولة يحددها المهاجم. هذا يعيد إلى الأذهان ثغرة CVE-2024-31989 التي سمحت سابقًا بالوصول إلى Redis دون كلمة مرور، والتي تم إصلاحها بإضافة كلمة مرور، لكن غياب التوقيع الرقمي للبيانات يجعل إعادة استغلالها ممكنًا بمجرد سرقة كلمة المرور.
إجراءات الحماية الموصى بها
نظرًا لغياب تحديث رسمي، يبقى الحل الوحيد هو العزل الشبكي:
- تفعيل سياسات Kubernetes بحيث لا يتمكن سوى مكونات Argo CD من الوصول إلى منافذ repo-server وRedis.
- التحقق من السياسات حيث يجب أن يظهر لكل مكوّن سياسة شبكة خاصة به.
- إذا كانت السياسات مفقودة، فهذا يعني أن المنافذ الداخلية متاحة لبقية العناقيد، مما يزيد من احتمالية الاستغلال.
خلفيات إضافية
هذه ليست المرة الأولى التي تكشف فيها Argo CD عن نقاط ضعف داخلية. ففي سبتمبر 2025، تم إصلاح ثغرة CVE-2025-55190 التي سمحت بسحب بيانات اعتماد Git عبر رمز API منخفض الصلاحيات. وفي مايو 2026، ظهرت ثغرة CVE-2026-42880 التي مكّنت المستخدمين ذوي الصلاحيات المحدودة من قراءة أسرار Kubernetes بنص واضح. النمط أصبح واضحًا: تركيز Argo CD على إدارة الوصول إلى العناقيد ومستودعات Git يجعل أي خلل داخلي بمثابة بوابة مباشرة إلى أسرار البنية التحتية.






























