CVE-2026-42294 in argo-workflows
요약
\~에 의해 VulDB • 2026. 05. 23.
Argo Workflows는 Kubernetes에서 병렬 작업을 오케스트레이션하기 위한 오픈 소스 컨테이너 네이티브 워크플로우 엔진입니다. 버전 3.7.14 및 4.0.5 이전 버전에서 Webhook Interceptor는 요청을 인증하거나 서명을 검증하기 전에 요청 본문 전체를 메모리에 로드합니다. 이는 웹훅용으로 의도되었지만 공개적으로 접근 가능한(albeit intended for webhooks) /api/v1/events/ 엔드포인트에서 발생합니다. 공격자는 매우 큰 본문(예: 여러 기가바이트)을 가진 요청을 보내 Argo Server가 과도한 메모리를 할당하도록 유도할 수 있으며, 이는 Out-Of-Memory (OOM) 충돌 및 서비스 거부(Denial of Service)로 이어질 수 있습니다. 이 문제는 버전 3.7.14 및 4.0.5에서 패치되었습니다.
If you want to get best quality of vulnerability data, you may have to visit VulDB.