Argo Workflows — это контейнерный механизм рабочих процессов с открытым исходным кодом для организации параллельных заданий в Kubernetes. До версий 4.0.2 и 3.7.11 конечные точки шаблонов рабочих процессов позволяют любому клиенту получать шаблоны WorkflowTemplates (и ClusterWorkflowTemplates). Любой запрос с авторизацией: токен на предъявителя ничего не может привести к утечке конфиденциального содержимого шаблона, включая встроенные секретные манифесты.
Эта уязвимость исправлена в версиях 4.0.2 и 3.7.11.
Показать оригинальное описание (EN)
Argo Workflows is an open source container-native workflow engine for orchestrating parallel jobs on Kubernetes. Prior to 4.0.2 and 3.7.11, Workflow templates endpoints allow any client to retrieve WorkflowTemplates (and ClusterWorkflowTemplates). Any request with a Authorization: Bearer nothing token can leak sensitive template content, including embedded Secret manifests. This vulnerability is fixed in 4.0.2 and 3.7.11.
Характеристики атаки
Последствия
Строка CVSS v3.1