CVE-2026-42294 in argo-workflows
Tóm tắt
Bởi VulDB • 23/05/2026
Argo Workflows là một công cụ điều phối quy trình làm việc (workflow engine) gốc container mã nguồn mở để điều phối các công việc song song trên Kubernetes. Trước các phiên bản 3.7.14 và 4.0.5, Webhook Interceptor tải toàn bộ phần thân (body) của yêu cầu vào bộ nhớ trước khi xác thực yêu cầu hoặc xác minh chữ ký của nó. Sự cố này xảy ra trên endpoint /api/v1/events/, vốn có thể truy cập công khai (dù được thiết kế dành cho webhook). Một kẻ tấn công có thể gửi một yêu cầu với phần thân cực kỳ lớn (ví dụ: nhiều gigabyte), khiến Argo Server phân bổ bộ nhớ quá mức, có khả năng dẫn đến sự cố tràn bộ nhớ (Out-Of-Memory - OOM) và gây ra tình trạng từ chối dịch vụ (DoS). Vấn đề này đã được vá trong các phiên bản 3.7.14 và 4.0.5.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.