CRITICAL🇬🇧 English

CVE-2025-32445

Argo Events: privilege escalation przez modyfikację EventSource/Sensor CR

CVSS 9.9v3.1pub. 2025-04-15upd. 2026-04-15

Podatność w Argo Events pozwala użytkownikowi z uprawnieniami do tworzenia lub modyfikowania zasobów EventSource i Sensor na uzyskanie uprzywilejowanego dostępu do hosta klastra Kubernetes. Zagrożenie jest krytyczne, ponieważ eskalacja uprawnień możliwa jest bez posiadania bezpośrednich uprawnień administracyjnych.

Pokaż oryginał (EN)

Argo Events is an event-driven workflow automation framework for Kubernetes. A user with permission to create/modify EventSource and Sensor custom resources can gain privileged access to the host system and cluster, even without having direct administrative privileges. The EventSource and Sensor CRs allow the corresponding orchestrated pod to be customized with spec.template and spec.template.container (with type k8s.io/api/core/v1.Container), thus, any specification under container such as command, args, securityContext , volumeMount can be specified, and applied to the EventSource or Sensor pod. With these, a user would be able to gain privileged access to the cluster host, if he/she specified the EventSource/Sensor CR with some particular properties under template. This vulnerability is fixed in v1.9.6.

🤖 Analiza AI
Jak działa

Zasoby EventSource i Sensor umożliwiają dostosowanie konfiguracji powiązanych podów poprzez pola spec.template oraz spec.template.container, które akceptują pełną specyfikację kontenera zgodną z typem k8s.io/api/core/v1.Container. Atakujący może za pomocą tych pól określić parametry takie jak command, args, securityContext czy volumeMount dla uruchamianego poda. Odpowiednio skonstruowane właściwości w sekcji template pozwalają na uruchomienie kontenera z podwyższonymi uprawnieniami, co w konsekwencji daje dostęp do zasobów hosta i całego klastra. Jest to typowy przypadek CWE-250 — nadmiernych uprawnień przyznawanych procesowi lub komponentowi.

Skutki

Atakujący może uzyskać uprzywilejowany dostęp do systemu hosta klastra Kubernetes, w tym potencjalnie przejąć pełną kontrolę nad klastrem — prowadząc do naruszenia poufności, integralności i dostępności danych oraz zasobów.

Mitygacja

Należy zaktualizować Argo Events do wersji v1.9.6, w której podatność została naprawiona. Patch dostępny jest w repozytorium projektu (commit 18412293a699f559848b00e6e459c9ce2de0d3e2). Dodatkowo zaleca się przegląd i ograniczenie uprawnień RBAC do tworzenia/modyfikowania zasobów EventSource i Sensor wyłącznie do zaufanych użytkowników.

Kogo dotyczy

Argo Events w wersjach poprzedzających v1.9.6, gdzie użytkownicy posiadają uprawnienia do tworzenia lub modyfikowania zasobów EventSource i Sensor.

Uwagi

Podatność została zgłoszona i naprawiona w ramach security advisory GHSA-hmp7-x699-cvhq opublikowanego w repozytorium GitHub projektu argoproj/argo-events.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Container
CWE
Referencje
CVE-2025-32445 — Argo Events: privilege escalation przez modyfikację EventSource/Sensor CR — CRITICAL 9.9 | CVEbaza.pl