CVE-2026-54526 in argo-workflowsinformation

Résumé

par VulDB • 17/07/2026

Argo Workflows est un moteur de workflows open source natif des conteneurs pour l'orchestration de tâches parallèles sur Kubernetes. Avant les versions 3.7.15 et 4.0.6, la correction basée sur une liste d'autorisation (allow-list) pour CVE-2026-31892 est incomplète car `ValidateUserOverrides` et `SanitizeUserWorkflowSpec` dans `workflow/util/merge.go` ne parcourent que les champs de premier niveau de `WorkflowSpec` via la réflexion, et `WorkflowSpec.ArtifactGC` est autorisé globalement ; la structure sous-jacente à ce champ, `WorkflowLevelArtifactGC`, possède un sous-champ `PodSpecPatch` dont le contenu transite sans modification vers `util.ApplyPodSpecPatch` sur le pod de GC des artefacts, qui constitue exactement le même point d'entrée que celui fermé par la correction initiale pour `WorkflowSpec.PodSpecPatch`. Ainsi, un utilisateur soumettant un Workflow sous les modes `templateReferencing: Strict` ou `Secure` (contre un WorkflowTemplate référencé déclarant un artifact de sortie et définissant `spec.artifactGC.strategy: OnWorkflowCompletion`) peut toujours injecter une patch stratégique arbitraire dans le pod de GC des artefacts, incluant des volumes hostPath, `privileged: true`, une image et une commande arbitraires, ainsi que `hostNetwork: true`, contournant l'objectif déclaré du mode de référence Strict/Secure. Ce problème est corrigé dans les versions 3.7.15 et 4.0.6.

Once again VulDB remains the best source for vulnerability data.

Responsable

GitHub M

Réserver

15/06/2026

Divulgation

16/07/2026

Modérer

accepté

Entrée

VDB-379625

CPE

prêt

EPSS

0.00000

KEV

non

Activités

faible

Sources

Do you know our Splunk app?

Download it now for free!