Vulnerabilidad en Argo Workflows (CVE-2024-53862)
Gravedad CVSS v4.0:
MEDIA
Tipo:
CWE-200
Revelación de información
Fecha de publicación:
02/12/2024
Última modificación:
02/12/2024
Descripción
Argo Workflows es un motor de flujo de trabajo nativo de contenedores de código abierto para orquestar trabajos paralelos en Kubernetes. Cuando se usa `--auth-mode=client`, los flujos de trabajo archivados se pueden recuperar con un token falso o falsificado a través del endpoint de flujo de trabajo GET: `/api/v1/workflows/{namespace}/{name}` o cuando se usa `--auth-mode=sso`, todos los flujos de trabajo archivados se pueden recuperar con un token válido a través del endpoint de flujo de trabajo GET: `/api/v1/workflows/{namespace}/{name}`. El servidor no realiza ninguna autenticación en los tokens `client`. En cambio, la autenticación y la autorización se delegan al servidor de API de k8s. Sin embargo, el archivo de flujo de trabajo no interactúa con k8s, por lo que cualquier token que parezca válido se considerará autenticado, incluso si no es un token de k8s o incluso si el token no tiene RBAC para Argo. Para manejar la falta de authN/authZ de k8s de paso a través, el Archivo de flujo de trabajo realiza específicamente el equivalente de una verificación `kubectl auth can-i` para los métodos respectivos. En 3.5.7 y 3.5.8, la verificación de autenticación se eliminó accidentalmente en el endpoint de flujo de trabajo GET de respaldo a flujos de trabajo archivados en estas líneas, lo que permitió recuperar flujos de trabajo archivados con un token falso. Esta vulnerabilidad se corrigió en 3.6.2 y 3.5.13.
Impacto
Puntuación base 4.0
6.30
Gravedad 4.0
MEDIA