Argo Workflows — это контейнерный механизм рабочих процессов с открытым исходным кодом для организации параллельных заданий в Kubernetes. До версий 4.0.2 и 3.7.11 конечные точки шаблонов рабочих процессов позволяют любому клиенту получать шаблоны WorkflowTemplates (и ClusterWorkflowTemplates). Любой запрос с авторизацией: токен на предъявителя ничего не может привести к утечке конфиденциального содержимого шаблона, включая встроенные секретные манифесты.
Эта уязвимость исправлена в версиях 4.0.2 и 3.7.11.
Показать оригинальное описание (EN)
Argo Workflows is an open source container-native workflow engine for orchestrating parallel jobs on Kubernetes. Prior to 4.0.2 and 3.7.11, Workflow templates endpoints allow any client to retrieve WorkflowTemplates (and ClusterWorkflowTemplates). Any request with a Authorization: Bearer nothing token can leak sensitive template content, including embedded Secret manifests. This vulnerability is fixed in 4.0.2 and 3.7.11.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 2
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Argoproj Argo_Workflows
cpe:2.3:a:argoproj:argo_workflows:*:*:*:*:*:go:*:*
|
3.7.0
|
3.7.11
|
|
Argoproj Argo_Workflows
cpe:2.3:a:argoproj:argo_workflows:*:*:*:*:*:go:*:*
|
4.0.0
|
4.0.2
|