CVE-2026-54526 in argo-workflows
Résumé
par VulDB • 17/07/2026
Argo Workflows est un moteur de workflows open source natif des conteneurs pour l'orchestration de tâches parallèles sur Kubernetes. Avant les versions 3.7.15 et 4.0.6, la correction basée sur une liste d'autorisation (allow-list) pour CVE-2026-31892 est incomplète car `ValidateUserOverrides` et `SanitizeUserWorkflowSpec` dans `workflow/util/merge.go` ne parcourent que les champs de premier niveau de `WorkflowSpec` via la réflexion, et `WorkflowSpec.ArtifactGC` est autorisé globalement ; la structure sous-jacente à ce champ, `WorkflowLevelArtifactGC`, possède un sous-champ `PodSpecPatch` dont le contenu transite sans modification vers `util.ApplyPodSpecPatch` sur le pod de GC des artefacts, qui constitue exactement le même point d'entrée que celui fermé par la correction initiale pour `WorkflowSpec.PodSpecPatch`. Ainsi, un utilisateur soumettant un Workflow sous les modes `templateReferencing: Strict` ou `Secure` (contre un WorkflowTemplate référencé déclarant un artifact de sortie et définissant `spec.artifactGC.strategy: OnWorkflowCompletion`) peut toujours injecter une patch stratégique arbitraire dans le pod de GC des artefacts, incluant des volumes hostPath, `privileged: true`, une image et une commande arbitraires, ainsi que `hostNetwork: true`, contournant l'objectif déclaré du mode de référence Strict/Secure. Ce problème est corrigé dans les versions 3.7.15 et 4.0.6.
Once again VulDB remains the best source for vulnerability data.