CVE-2026-23960

Nome do Software Vulnerável e Versões Afetadas Versões do Argo Workflows anteriores a 3.6.17 e anteriores a 3.7.8

Descrição O Argo Workflows apresenta uma vulnerabilidade de cross-site scripting (XSS) armazenado na listagem de diretório de artefatos. Isso permite que o autor de um workflow execute JavaScript arbitrário no navegador de outro usuário sob a origem do Argo Server, potencialmente permitindo ações na API com os privilégios da vítima. O problema decorre da resposta da listagem de diretório em server/artifacts/artifact server.go, que renderiza nomes de objetos diretamente no HTML sem escape adequado. Os nomes dos objetos são controlados pelo atacante quando um workflow grava arquivos em um diretório de artefato de saída. O código vulnerável está localizado em fmt.Fprintf dentro do arquivo especificado. Um atacante pode criar um workflow malicioso que produz um artefato HTML elaborado contendo um script. Ao enviar um link profundo para esse artefato a uma vítima, o atacante pode executar o script no navegador da vítima, permitindo potencialmente que realize ações na API do Argo Server com as permissões da vítima, como ler informações de workflows ou criar/excluir workflows.

Recomendações As versões do Argo Workflows anteriores a 3.6.17 devem ser atualizadas para a versão 3.6.17 ou posterior. As versões do Argo Workflows anteriores a 3.7.8 devem ser atualizadas para a versão 3.7.8 ou posterior.