CRITICAL🇬🇧 English

CVE-2026-28229

Argo Workflows: nieautoryzowany dostęp do szablonów workflow i wykradanie sekretów

CVSS 9.8v3.1pub. 2026-03-11upd. 2026-06-30

Podatność w Argo Workflows umożliwia dowolnemu klientowi sieciowemu uzyskanie dostępu do WorkflowTemplates i ClusterWorkflowTemplates bez poprawnego uwierzytelnienia. Jest to groźne, ponieważ szablony mogą zawierać osadzone manifesty Secret z wrażliwymi danymi.

Pokaż oryginał (EN)

Argo Workflows is an open source container-native workflow engine for orchestrating parallel jobs on Kubernetes. Prior to 4.0.2 and 3.7.11, Workflow templates endpoints allow any client to retrieve WorkflowTemplates (and ClusterWorkflowTemplates). Any request with a Authorization: Bearer nothing token can leak sensitive template content, including embedded Secret manifests. This vulnerability is fixed in 4.0.2 and 3.7.11.

🤖 Analiza AI
Jak działa

Endpointy API obsługujące szablony workflow (WorkflowTemplates oraz ClusterWorkflowTemplates) nieprawidłowo weryfikują autoryzację żądań przychodzących. Atakujący może wysłać żądanie HTTP z nagłówkiem 'Authorization: Bearer nothing' — czyli praktycznie dowolnym, fałszywym tokenem — i uzyskać w odpowiedzi pełną treść szablonów. Szablony te mogą zawierać osadzone manifesty Kubernetes Secret, co prowadzi do wycieku poufnych danych uwierzytelniających i konfiguracyjnych. Błąd klasyfikowany jest jako nieprawidłowa autoryzacja (CWE-863), co oznacza, że system nie sprawdza poprawnie, czy żądający podmiot ma prawo dostępu do zasobu.

Skutki

Atakujący bez żadnych uprawnień może odczytać wszystkie szablony workflow, w tym osadzone w nich dane wrażliwe (np. hasła, tokeny, klucze API zawarte w manifestach Secret). Może to prowadzić do kompromitacji całego środowiska Kubernetes obsługiwanego przez Argo Workflows.

Mitygacja

Należy zaktualizować Argo Workflows do wersji 4.0.2 lub 3.7.11, w których podatność została naprawiona. Dodatkowo zaleca się przegląd szablonów workflow pod kątem obecności osadzonych danych wrażliwych i przeniesienie ich do dedykowanych mechanizmów zarządzania sekretami.

Kogo dotyczy

Argo Workflows w wersjach wcześniejszych niż 4.0.2 oraz wcześniejszych niż 3.7.11

Uwagi

Podatność została ujawniona i naprawiona przez zespół Argoproj. Szczegółowe informacje dostępne w security advisory na GitHub: GHSA-56px-hm34-xqj5.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Argoproj Argo Workflows

    APP
    Argoproj
    3.7.0 – 3.7.11 (bez)4.0.0 – 4.0.2 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Container
CWE
Referencje

Powiązane podatności

CVE-2026-42296HIGH8.1ten sam produkt

Argo Workflows is an open source container-native workflow engine for orchestrating parallel jobs on Kubernete...

CVE-2026-42297HIGH8.5ten sam produkt

Argo Workflows is an open source container-native workflow engine for orchestrating parallel jobs on Kubernete...

CVE-2026-42295HIGH8.5ten sam produkt

Argo Workflows is an open source container-native workflow engine for orchestrating parallel jobs on Kubernete...

CVE-2026-42294HIGH8.2ten sam produkt

Argo Workflows is an open source container-native workflow engine for orchestrating parallel jobs on Kubernete...

CVE-2026-40886HIGH7.7ten sam produkt

Argo Workflows is an open source container-native workflow engine for orchestrating parallel jobs on Kubernete...