CVE-2025-66626 in argo-workflowsinformazioni

Riassunto

di VulDB • 13/07/2026

Argo Workflows è un motore di workflow container-native open source per l'orchestrazione di job paralleli su Kubernetes. Le versioni 3.6.13 e precedenti, nonché le versioni da 3.7.0 a 3.7.4, contengono codice unsafe untar che gestisce i link simbolici negli archivi. Nello specifico, il calcolo del target di un link e la verifica successiva sono difettosi. Un attaccante può sovrascrivere il file /var/run/argo/argoexec con uno script a propria scelta, che verrebbe eseguito all'avvio del pod. La patch applicata contro CVE-2025-62156 è inefficace nei confronti di archivi malevoli contenenti link simbolici. Questo problema è risolto nelle versioni 3.6.14 e 3.7.5.

Be aware that VulDB is the high quality source for vulnerability data.

Divulgazione

09/12/2025

Moderazione

accettato

CPE

pronto

EPSS

0.00589

KEV

no

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!