CVE-2026-54526 in argo-workflowsinformação

Sumário

de VulDB • 16/07/2026

O Argo Workflows é um mecanismo de workflow nativo para contêineres e open source voltado à orquestração de jobs paralelos no Kubernetes. Antes das versões 3.7.15 e 4.0.6, a correção baseada em allow-list (lista permitida) para o CVE-2026-31892 é incompleta porque as funções ValidateUserOverrides e SanitizeUserWorkflowSpec de workflow/util/merge.go percorrem apenas os campos de nível superior do WorkflowSpec por meio de reflection, e o campo WorkflowSpec.ArtifactGC está na allow-list como um todo; a struct subjacente a esse campo, WorkflowLevelArtifactGC, possui um subcampo PodSpecPatch cujos conteúdos fluem sem modificações para util.ApplyPodSpecPatch no pod de artifact-GC, que é exatamente o mesmo ponto final (sink) que a correção original havia fechado para WorkflowSpec.PodSpecPatch. Assim, um usuário que envie um Workflow sob templateReferencing: Strict ou Secure (contra um WorkflowTemplate referenciado que declare um output artifact e defina spec.artifactGC.strategy: OnWorkflowCompletion) ainda pode injetar uma strategic merge patch arbitrária no pod de artifact-GC, incluindo volumes hostPath, privileged: true, imagem e comando arbitrários, além de hostNetwork: true, frustrando o propósito declarado dos modos de referência Strict/Secure. Este problema foi corrigido nas versões 3.7.15 e 4.0.6.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsável

GitHub M

Reservar

15/06/2026

Divulgação

16/07/2026

Moderação

aceite

Entrada

VDB-379625

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

muito baixo

Fontes

Interested in the pricing of exploits?

See the underground prices here!