PT-2025-50230 · Unknown · Argo Workflows+1
Cristianstaicu
+1
·
Publicado
2025-10-14
·
Atualizado
2026-05-13
·
CVE-2025-66626
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Versões do Argo Workflows 3.6.13 e anteriores
Versões do Argo Workflows 3.7.0 até 3.7.4
Descrição
O Argo Workflows, um mecanismo de fluxo de trabalho nativo para contêineres do Kubernetes, possui um problema com código inseguro de extração tar (untar) que manipula incorretamente links simbólicos dentro de arquivos compactados. Existe uma falha na forma como o destino de um link é calculado e verificado. Isso permite que um atacante sobrescreva o arquivo
/var/run/argo/argoexec com um script malicioso, que seria então executado quando o pod for iniciado. O patch implantado anteriormente é ineficaz contra arquivos compactados que contenham links simbólicos maliciosos.Recomendações
Atualize para a versão 3.6.14 ou posterior do Argo Workflows.
Atualize para a versão 3.7.5 ou posterior do Argo Workflows.
Exploit
Correção
RCE
Path traversal
Relative Path Traversal
Link Following
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Argo Workflows
Kubernetes