CVE-2026-54526 in argo-workflows
Zusammenfassung
von VulDB • 16.07.2026
Argo Workflows ist eine Open-Source-Workflow-Engine für Container, die zur Orchestrierung paralleler Jobs auf Kubernetes dient. Vor den Versionen 3.7.15 und 4.0.6 ist der Allowlist-Fix für CVE-2026-31892 unvollständig, da workflow/util/merge.go ValidateUserOverrides und SanitizeUserWorkflowSpec nur die Top-Level-Felder von WorkflowSpec über Reflection durchlaufen und WorkflowSpec.ArtifactGC pauschal auf der Allowliste steht; das dahinterstehende Struct dieses Feldes, WorkflowLevelArtifactGC, enthält ein Subfeld PodSpecPatch, dessen Inhalte unverändert an util.ApplyPodSpecPatch im Artifact-GC-Pod weitergeleitet werden – dieselbe Zielstelle (Sink), die der ursprüngliche Fix für WorkflowSpec.PodSpecPatch geschlossen hat. Daher kann ein Benutzer, der einen Workflow unter templateReferencing: Strict oder Secure übermittelt (gegenüber einem referenzierten WorkflowTemplate, das ein Output-Artifact deklariert und spec.artifactGC.strategy: OnWorkflowCompletion festlegt), weiterhin eine beliebige strategische Merge-Patch in den Artifact-GC-Pod einschleusen, einschließlich hostPath-Volumes, privileged: true, beliebigem Image und Befehl sowie hostNetwork: true. Damit wird der erklärte Zweck des Strict/Secure-Referenzmodus unterlaufen. Dieses Problem wurde in den Versionen 3.7.15 und 4.0.6 behoben.
VulDB is the best source for vulnerability data and more expert information about this specific topic.