Vulnerabilidad DoS en Argo CD: investigador denuncia meses sin cobrar $8.500 de HackerOne IBB

Vulnerabilidad DoS en Argo CD: el investigador Jakub Ciolek asegura que el programa Internet Bug Bounty (IBB) de HackerOne lo dejó “en visto” durante meses por una recompensa total de 8.500 dólares, pese a que los fallos ya cuentan con identificadores CVE y fueron corregidos por los mantenedores del proyecto. El caso reabre el debate sobre la fiabilidad operativa de los bug bounty enfocados en Open Source y su impacto directo en la seguridad de cadenas de suministro basadas en Kubernetes.

Según la información publicada, Ciolek reportó dos vulnerabilidades de denegación de servicio (DoS) de alta severidad que afectarían a Argo CD, una herramienta GitOps de continuous delivery para Kubernetes ampliamente utilizada como controlador. En un escenario de explotación, un atacante remoto podría provocar el crash de instancias vulnerables sin requerir autenticación.

Vulnerabilidad DoS en Argo CD: CVEs emitidos y parches ya disponibles

Las vulnerabilidades mencionadas están registradas como CVE-2025-59538 y CVE-2025-59531. Ambas se describen como fallos DoS en Argo CD que permitirían tumbar servicios vulnerables de forma remota. El proyecto Argo CD corrigió los problemas y publicó versiones que incorporan los fixes.

De acuerdo con el registro de cambios y los avisos de seguridad del repositorio, los mantenedores aplicaron correcciones en las versiones 2.14.20, 3.2.0-rc2, 3.1.8 y 3.0.19, y acreditaron al investigador por el reporte a través de la advisory correspondiente en GitHub. Para referencia, puede consultarse el commit de corrección en el repositorio oficial del proyecto (argoproj/argo-cd) y la advisory de seguridad (GitHub Security Advisory).

Cómo debería funcionar IBB y por qué el caso importa

El Internet Bug Bounty (IBB) es un programa “crowdfunded” operado por HackerOne y orientado a incentivar el hallazgo y la corrección de vulnerabilidades en software Open Source mediante una bolsa común de recompensas. El modelo, según su descripción pública, contempla que una vez corregida una vulnerabilidad rastreada por CVE, se procese el pago de forma automática: el 80% del bounty para el investigador y el 20% para el proyecto, con el objetivo de financiar el trabajo de remediación.

El problema, en palabras atribuidas al investigador, no sería únicamente el retraso del pago, sino la falta de comunicación incluso después de que los CVEs fueran emitidos y los parches liberados, un punto crítico porque el bug bounty depende de confianza, previsibilidad y tiempos de respuesta claros.

“Radio silence”: meses sin respuesta y un backlog operativo

Ciolek afirma que desde octubre intentó en varias ocasiones obtener confirmación sobre el estado del payout y si el programa seguía activo, incluyendo mensajes dentro de la plataforma y correos a la dirección oficial del programa, sin obtener respuesta durante semanas. El silencio, sostiene, contrasta con la propia mecánica del IBB y con su experiencia previa: asegura tener múltiples disclosures y haber recibido pagos del programa con anterioridad.

Según el relato, el contacto de HackerOne llegó finalmente después de que un medio preguntara por el caso. En ese mensaje, la compañía habría confirmado que el programa permanece activo y que los reportes estaban pendientes por un “temporary operational backlog”, con expectativa de normalizar los pagos hacia el final del primer trimestre o antes.

Vulnerabilidad DoS en Argo CD y el riesgo reputacional para el bug bounty Open Source

Más allá del caso puntual, la Vulnerabilidad DoS en Argo CD llega en un momento en el que los programas de bug bounty enfrentan presión por el aumento de reportes de baja calidad y automatizados. Si las plataformas elevan filtros para reducir ruido, la industria espera lo contrario en el camino crítico: más velocidad y claridad para los informes “high-signal”, especialmente cuando se trata de componentes que forman parte de infraestructuras Kubernetes y pipelines de entrega.

Cuando el pago o la comunicación se atascan tras la publicación de CVEs y parches, el incentivo económico pierde efectividad como herramienta de seguridad preventiva para Open Source. Y en productos como Argo CD, usados en entornos de producción, el contexto trasciende el bounty: afecta la percepción de robustez de todo el proceso de responsible disclosure y coordinación entre investigadores, mantenedores y plataformas.

La Vulnerabilidad DoS en Argo CD ya cuenta con parches y referencias públicas, pero el episodio pone el foco en la “operational reliability” de los programas de recompensa: si están pausados, infrafinanciados o en backlog, la industria necesita que se comunique de forma explícita. De lo contrario, la fricción cae sobre el eslabón más escaso del ecosistema: el tiempo de los investigadores que sostienen, en gran medida, la seguridad del software que corre Internet.