Ljyanesm

Nome do software vulnerável e versões afetadas: Argo Workflows, versões 3.5.7 a 3.5.8 Descrição: O Argo Workflows é um mecanismo de fluxo de trabalho nativo de contêineres de código aberto para orquestrar tarefas paralelas no Kubernetes. Ao usar `--auth-mode=client`, os fluxos de trabalho arquivados podem ser recuperados com um token falso ou falsificado por meio do endpoint GET Workflow: `/api/v1/workflows/{namespace}/{name}`. O servidor em si não realiza autenticação nos tokens `client`. A autenticação e a autorização são, em vez disso, delegadas ao servidor da API do k8s. No entanto, o arquivo de fluxos de trabalho não interage com o k8s e, portanto, qualquer token que pareça válido será considerado autenticado. Para lidar com a falta de autenticação e autorização k8s pass-through, o arquivo de fluxo de trabalho realiza especificamente o equivalente a uma verificação `kubectl auth can-i` para os respectivos métodos. Nas versões 3.5.7 e 3.5.8, a verificação de autenticação foi acidentalmente removida no fallback do endpoint GET Workflow para fluxos de trabalho arquivados, permitindo que fluxos de trabalho arquivados fossem recuperados com um token falso. Recomendações: Para as versões 3.5.7 e 3.5.8 do Argo Workflows, atualize para a versão 3.6.2 ou 3.5.13 para corrigir a vulnerabilidade. Como solução alternativa temporária, considere desativar o modo `--auth-mode=client` até que um patch esteja disponível. Restrinja o acesso ao endpoint `/api/v1/workflows/{namespace}/{name}` para minimizar o risco de exploração. Evite usar tokens falsos ou falsificados no cabeçalho `Authorization` até que o problema seja resolvido.