CVE-2025-32445

Nome do Software Vulnerável e Versões Afetadas Versões do Argo Events anteriores a 1.9.6

Descrição O Argo Events é um framework de automação de fluxo de trabalho orientado a eventos para Kubernetes. Um usuário com permissão para criar ou modificar recursos personalizados EventSource e Sensor pode obter acesso privilegiado ao sistema host e ao cluster, mesmo sem ter privilégios administrativos diretos. Os CRs EventSource e Sensor permitem que o pod orquestrado correspondente seja personalizado com spec.template e spec.template.container, portanto, qualquer especificação sob container, como command, args, securityContext, volumeMount, pode ser especificada e aplicada ao pod EventSource ou Sensor. Com isso, um usuário seria capaz de obter acesso privilegiado ao host do cluster se especificasse o CR EventSource/Sensor com algumas propriedades particulares em template.

Recomendações Para versões anteriores a 1.9.6, atualize para a versão 1.9.6 para corrigir a vulnerabilidade. Como solução alternativa temporária, considere restringir o acesso aos recursos personalizados EventSource e Sensor para impedir que os usuários os criem ou modifiquem com propriedades privilegiadas. Adicionalmente, restrinja o uso de spec.template e spec.template.container nos CRs EventSource e Sensor para minimizar o risco de exploração.