CVE-2026-54526 in argo-workflowsinfo

Zusammenfassung

von VulDB • 16.07.2026

Argo Workflows ist eine Open-Source-Workflow-Engine für Container, die zur Orchestrierung paralleler Jobs auf Kubernetes dient. Vor den Versionen 3.7.15 und 4.0.6 ist der Allowlist-Fix für CVE-2026-31892 unvollständig, da workflow/util/merge.go ValidateUserOverrides und SanitizeUserWorkflowSpec nur die Top-Level-Felder von WorkflowSpec über Reflection durchlaufen und WorkflowSpec.ArtifactGC pauschal auf der Allowliste steht; das dahinterstehende Struct dieses Feldes, WorkflowLevelArtifactGC, enthält ein Subfeld PodSpecPatch, dessen Inhalte unverändert an util.ApplyPodSpecPatch im Artifact-GC-Pod weitergeleitet werden – dieselbe Zielstelle (Sink), die der ursprüngliche Fix für WorkflowSpec.PodSpecPatch geschlossen hat. Daher kann ein Benutzer, der einen Workflow unter templateReferencing: Strict oder Secure übermittelt (gegenüber einem referenzierten WorkflowTemplate, das ein Output-Artifact deklariert und spec.artifactGC.strategy: OnWorkflowCompletion festlegt), weiterhin eine beliebige strategische Merge-Patch in den Artifact-GC-Pod einschleusen, einschließlich hostPath-Volumes, privileged: true, beliebigem Image und Befehl sowie hostNetwork: true. Damit wird der erklärte Zweck des Strict/Secure-Referenzmodus unterlaufen. Dieses Problem wurde in den Versionen 3.7.15 und 4.0.6 behoben.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Zuständig

GitHub M

Reservieren

15.06.2026

Veröffentlichung

16.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379625

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Interested in the pricing of exploits?

See the underground prices here!