CVE-2026-54526 in argo-workflows
Сводка
по VulDB • 16.07.2026
Argo Workflows — это движок рабочих процессов для контейнеров с открытым исходным кодом, предназначенный для оркестрации параллельных задач в Kubernetes. До версий 3.7.15 и 4.0.6 исправление на основе белого списка (allow-list) для CVE-2026-31892 является неполным: функции ValidateUserOverrides и SanitizeUserWorkflowSpec из модуля workflow/util/merge.go обходят только поля верхнего уровня структуры WorkflowSpec с помощью механизма отражения (reflection), а поле WorkflowSpec.ArtifactGC добавляется в белый список целиком. Структура, стоящая за этим полем, — WorkflowLevelArtifactGC, содержит подполе PodSpecPatch, содержимое которого передается без изменений в util.ApplyPodSpecPatch для пода выполнения очистки артефактов (artifact-GC pod). Это тот же самый конечный пункт обработки данных (sink), который был закрыт первоначальным исправлением для WorkflowSpec.PodSpecPatch. Таким образом, пользователь, отправляющий рабочий процесс при использовании режима templateReferencing: Strict или Secure (относительно ссылочного WorkflowTemplate, объявляющего выходной артефакт и устанавливающего spec.artifactGC.strategy: OnWorkflowCompletion), все еще может внедрить произвольный стратегический слияния патч в pod выполнения очистки артефактов. Это включает возможность добавления томов hostPath, установки параметра privileged: true, использования произвольного образа и команды, а также активации hostNetwork: true, что полностью нивелирует заявленную цель режимов строгого (Strict) или безопасного (Secure) контроля ссылок. Проблема исправлена в версиях 3.7.15 и 4.0.6.
If you want to get best quality of vulnerability data, you may have to visit VulDB.