CVE-2026-42296

Nome do Software Vulnerável e Versões Afetadas Argo Workflows versões anteriores a 3.7.14 Argo Workflows versões anteriores a 4.0.5

Description Um usuário com permissão de criação de Workflow pode burlar as restrições templateReferencing: Strict e Secure. Isso ocorre porque o sistema bloqueia apenas o campo podSpecPatch, permitindo que outros campos do WorkflowSpec sejam mesclados e aplicados aos pods. Um invasor pode usar isso para obter acesso à rede do host, alterar contas de serviço, sobrescrever contextos de segurança de pods, adicionar tolerâncias para agendar pods em nós do plano de controle ou habilitar a montagem de tokens de conta de serviço. A falha é possível quando um workflow referencia um template endurecido que depende de valores padrão para esses campos. Os campos afetados incluem hostNetwork, securityContext, serviceAccountName, automountServiceAccountToken, tolerations, dnsPolicy, schedulerName, hostAliases e volumes.

Recommendations Atualize para a versão 3.7.14 ou posterior. Atualize para a versão 4.0.5 ou posterior.