Podatność w Argo Workflows umożliwia dowolnemu klientowi sieciowemu uzyskanie dostępu do WorkflowTemplates i ClusterWorkflowTemplates bez poprawnego uwierzytelnienia. Jest to groźne, ponieważ szablony mogą zawierać osadzone manifesty Secret z wrażliwymi danymi.
▸ Pokaż oryginał (EN)
Argo Workflows is an open source container-native workflow engine for orchestrating parallel jobs on Kubernetes. Prior to 4.0.2 and 3.7.11, Workflow templates endpoints allow any client to retrieve WorkflowTemplates (and ClusterWorkflowTemplates). Any request with a Authorization: Bearer nothing token can leak sensitive template content, including embedded Secret manifests. This vulnerability is fixed in 4.0.2 and 3.7.11.
Endpointy API obsługujące szablony workflow (WorkflowTemplates oraz ClusterWorkflowTemplates) nieprawidłowo weryfikują autoryzację żądań przychodzących. Atakujący może wysłać żądanie HTTP z nagłówkiem 'Authorization: Bearer nothing' — czyli praktycznie dowolnym, fałszywym tokenem — i uzyskać w odpowiedzi pełną treść szablonów. Szablony te mogą zawierać osadzone manifesty Kubernetes Secret, co prowadzi do wycieku poufnych danych uwierzytelniających i konfiguracyjnych. Błąd klasyfikowany jest jako nieprawidłowa autoryzacja (CWE-863), co oznacza, że system nie sprawdza poprawnie, czy żądający podmiot ma prawo dostępu do zasobu.
Atakujący bez żadnych uprawnień może odczytać wszystkie szablony workflow, w tym osadzone w nich dane wrażliwe (np. hasła, tokeny, klucze API zawarte w manifestach Secret). Może to prowadzić do kompromitacji całego środowiska Kubernetes obsługiwanego przez Argo Workflows.
Należy zaktualizować Argo Workflows do wersji 4.0.2 lub 3.7.11, w których podatność została naprawiona. Dodatkowo zaleca się przegląd szablonów workflow pod kątem obecności osadzonych danych wrażliwych i przeniesienie ich do dedykowanych mechanizmów zarządzania sekretami.
Argo Workflows w wersjach wcześniejszych niż 4.0.2 oraz wcześniejszych niż 3.7.11
Podatność została ujawniona i naprawiona przez zespół Argoproj. Szczegółowe informacje dostępne w security advisory na GitHub: GHSA-56px-hm34-xqj5.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HArgoproj Argo Workflows
APPArgoproj3.7.0 – 3.7.11 (bez)4.0.0 – 4.0.2 (bez)
Powiązane podatności
Argo Workflows is an open source container-native workflow engine for orchestrating parallel jobs on Kubernete...
Argo Workflows is an open source container-native workflow engine for orchestrating parallel jobs on Kubernete...
Argo Workflows is an open source container-native workflow engine for orchestrating parallel jobs on Kubernete...
Argo Workflows is an open source container-native workflow engine for orchestrating parallel jobs on Kubernete...
Argo Workflows is an open source container-native workflow engine for orchestrating parallel jobs on Kubernete...