CVE-2026-40886

Name of the Vulnerable Software and Affected Versions Argo Workflows versões 3.6.5 até 3.6.19 Argo Workflows versões 3.7.0-rc1 até 3.7.12 Argo Workflows versões 4.0.0-rc1 até 4.0.4

Description Um índice de array não verificado na função podGCFromPod() do pod informer causa um pânico em todo o controlador quando um pod de fluxo de trabalho contém uma anotação workflows.argoproj.io/pod-gc-strategy malformada. Como o pânico ocorre dentro de uma goroutine do informer fora do escopo de recuperação do controlador, ele derruba todo o processo do controlador. O pod contaminado persiste após as reinicializações, levando a um loop de falhas que interrompe todo o processamento de fluxos de trabalho até que o pod seja excluído manualmente. Isso permite que qualquer usuário com permissão para enviar fluxos de trabalho cause uma negação de serviço contra todos os fluxos de trabalho no cluster.

Recommendations Atualizar Argo Workflows versões 3.6.5 até 3.6.19 para a versão 3.6.20 ou superior. Atualizar Argo Workflows versões 3.7.0-rc1 até 3.7.12 para a versão 3.7.14. Atualizar Argo Workflows versões 4.0.0-rc1 até 4.0.4 para a versão 4.0.5.