CVE-2024-53862

Nome do software vulnerável e versões afetadas:

Argo Workflows, versões 3.5.7 a 3.5.8

Descrição:

O Argo Workflows é um mecanismo de fluxo de trabalho nativo de contêineres de código aberto para orquestrar tarefas paralelas no Kubernetes. Ao usar --auth-mode=client, os fluxos de trabalho arquivados podem ser recuperados com um token falso ou falsificado por meio do endpoint GET Workflow: /api/v1/workflows/{namespace}/{name}. O servidor em si não realiza autenticação nos tokens client. A autenticação e a autorização são, em vez disso, delegadas ao servidor da API do k8s. No entanto, o arquivo de fluxos de trabalho não interage com o k8s e, portanto, qualquer token que pareça válido será considerado autenticado. Para lidar com a falta de autenticação e autorização k8s pass-through, o arquivo de fluxo de trabalho realiza especificamente o equivalente a uma verificação kubectl auth can-i para os respectivos métodos. Nas versões 3.5.7 e 3.5.8, a verificação de autenticação foi acidentalmente removida no fallback do endpoint GET Workflow para fluxos de trabalho arquivados, permitindo que fluxos de trabalho arquivados fossem recuperados com um token falso.

Recomendações:

Para as versões 3.5.7 e 3.5.8 do Argo Workflows, atualize para a versão 3.6.2 ou 3.5.13 para corrigir a vulnerabilidade. Como solução alternativa temporária, considere desativar o modo --auth-mode=client até que um patch esteja disponível. Restrinja o acesso ao endpoint /api/v1/workflows/{namespace}/{name} para minimizar o risco de exploração. Evite usar tokens falsos ou falsificados no cabeçalho Authorization até que o problema seja resolvido.