CVE-2022-29164

Versões do Argo Workflows anteriores à versão corrigida

O Argo Workflows é um mecanismo de fluxo de trabalho nativo de contêineres de código aberto para orquestrar tarefas paralelas no Kubernetes. Nas versões afetadas, um invasor pode criar um fluxo de trabalho que gera um artefato HTML contendo um arquivo HTML com um script que utiliza chamadas XHR para interagir com a Argo Server API. O invasor envia por e-mail um link direto para o artefato à vítima, que, ao abrir o link, permite que o script seja executado. Com acesso à Argo Server API como a vítima, o script pode ler informações sobre os fluxos de trabalho da vítima ou criar e excluir fluxos de trabalho. O invasor deve ser alguém interno com acesso ao mesmo cluster que a vítima e já deve ser capaz de executar seus próprios fluxos de trabalho. Ele também deve ter conhecimento do sistema da vítima. Não há evidências de que essa vulnerabilidade tenha sido explorada na prática.

Como solução alternativa temporária, considere desativar o Argo Server até que um patch esteja disponível.

Atualize para a versão corrigida para resolver o problema.

Observe que desativar o Argo Server é atualmente a única solução alternativa conhecida, e nenhuma correção está planejada para a versão 2.12, que está fora de suporte há algum tempo.