PT-2026-37192 · Unknown · Argo Workflows
Rudra2018
·
Publicado
2026-05-04
·
Atualizado
2026-05-14
·
CVE-2026-42294
CVSS v4.0
8.2
Alta
| Vetor | AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N |
Nome do Software Vulnerável e Versões Afetadas
Argo Workflows versões anteriores a 3.7.14
Argo Workflows versões anteriores a 4.0.5
Descrição
O Webhook Interceptor carrega todo o corpo da requisição na memória antes de autenticar a requisição ou verificar sua assinatura. Isso ocorre no endpoint '/api/v1/events/', que é publicamente acessível. Um invasor pode enviar uma requisição com um corpo extremamente grande, fazendo com que o Argo Server aloque memória excessiva, o que pode levar a um travamento por falta de memória (Out-Of-Memory - OOM) e negação de serviço. Este problema está localizado na função
addWebhookAuthorization() dentro do componente server/auth/webhook.Recomendações
Atualize para a versão 3.7.14 ou posterior.
Atualize para a versão 4.0.5 ou posterior.
Imponha um limite rigoroso ao tamanho do corpo do webhook usando
http.MaxBytesReader.
Implemente a verificação de assinaturas via streaming ou utilize arquivos temporários para cargas de dados grandes.Exploit
Correção
DoS
Allocation of Resources Without Limits
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Argo Workflows