Vulnerabilidad en Argo (CVE-2024-52799)

El diagrama de flujos de trabajo de Argo se utiliza para configurar Argo y sus dependencias necesarias a través de un comando. Antes de la versión 0.44.0, el rol de flujo de trabajo tiene privilegios excesivos, el peor de los cuales es create pods/exec, que permitirá que kubectl exec ingrese a cualquier Pod en el mismo espacio de nombres, es decir, la ejecución de código arbitrario dentro de esos Pods. Si se puede obligar a un usuario a ejecutar una plantilla maliciosa, se puede comprometer todo su espacio de nombres. Esto afecta a las versiones del diagrama de flujos de trabajo de Argo que usan appVersion: 3.4 y posteriores, que ya no necesitan estos permisos para el único Ejecutor disponible, Emissary. También podría afectar a los usuarios de versiones anteriores a la 3.4, según su elección de Ejecutor en esas versiones. Esto solo afecta al diagrama de Helm y no a los manifiestos ascendentes. Esta vulnerabilidad se corrigió en la versión 0.44.0.