CVE-2026-42296 in argo-workflows
要約
〜によって VulDB • 2026年05月09日
Argo Workflowsは、Kubernetes上で並列ジョブをオーケストレーションするためのオープンソースのコンテナネイティブなワークフローエンジンです。バージョン3.7.14および4.0.5より前では、Workflowの作成権限を持つユーザーがtemplateReferencing: Strictをバイパスし、ホストネットワークへのアクセスを取得したり、サービスアカウントを切り替えたり、ポッドのセキュリティコンテキストを上書きしたり、コントロールプレーンノード上でスケジュールするために許容条件を追加したり、SAトークンのマウントを有効にしたりすることができました。これは、該当地能の意図された目的を無効化するものです。実質的な影響は、Kubernetesレベルの制御がどのように設定されているかによって異なります。PodSecurity承認またはOPA/Gatekeeperを使用するクラスターでは、これらの一部(例:hostNetwork)が独立してブロックされます。Strictモードを主要な強制層としてArgoに依存しているクラスターは完全に曝露されます。この問題は、バージョン3.7.14および4.0.5で修正されています。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.