CVE-2022-31054

Versões do Argo Events anteriores à 1.7.1

O Argo Events é uma estrutura de automação de fluxos de trabalho orientada a eventos para o Kubernetes. O problema decorre do uso da função obsoleta ioutil.ReadAll() em vários pontos de extremidade HandleRoute, que lê todos os dados para a memória. Isso permite que um invasor envie uma solicitação de grande porte ao servidor do Argo Events, causando sua falha e resultando em uma negação de serviço. Os endpoints afetados podem ser usados para causar uma negação de serviço. As fontes de eventos suscetíveis a esse ataque de negação de serviço por esgotamento de memória incluem AWS SNS, Bitbucket, Gitlab, Slack, Storagegrid e Webhook.

Para versões anteriores à 1.7.1, atualize para a versão 1.7.1 do Argo Events para resolver o problema. Como solução temporária, considere restringir o acesso aos pontos de extremidade HandleRoute para minimizar o risco de exploração. Evite enviar solicitações grandes para o servidor do Argo Events até que o problema seja resolvido.