CVE-2026-42183

Nome do Software Vulnerável e Versões Afetadas Argo Workflows versões 4.0.0 a 4.0.4

Descrição Uma desreferência de ponteiro nulo (nil pointer dereference) na função rbacAuthorization() em server/auth/gatekeeper.go pode causar a negação de serviço para usuários de SSO. Isso ocorre quando a variável SSO DELEGATE RBAC TO NAMESPACE está definida como true e as reivindicações (claims) de um usuário correspondem a uma regra de RBAC no nível do namespace, mas não a uma regra de namespace de SSO. Especificamente, quando a função getServiceAccount(claims, ssoNamespace) retorna nulo, a variável loginAccount permanece nula; se uma namespaceAccount correspondente for encontrada, a função precedence() é chamada com o loginAccount nulo, causando um pânico ao tentar acessar serviceAccount.Annotations.

Recomendações Atualize o Argo Workflows para a versão 4.0.5.