Vulnerabilidad en Argo Workflows (CVE-2026-23960)
Gravedad CVSS v4.0:
ALTA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
21/01/2026
Última modificación:
17/02/2026
Descripción
Argo Workflows es un motor de flujo de trabajo de código abierto nativo de contenedores para orquestar trabajos paralelos en Kubernetes. Antes de las versiones 3.6.17 y 3.7.8, un XSS almacenado en el listado del directorio de artefactos permite a cualquier autor de flujo de trabajo ejecutar JavaScript arbitrario en el navegador de otro usuario bajo el origen del servidor Argo, lo que permite acciones de API con los privilegios de la víctima. Las versiones 3.6.17 y 3.7.8 solucionan el problema.
Impacto
Puntuación base 4.0
7.30
Gravedad 4.0
ALTA
Puntuación base 3.x
5.40
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:argoproj:argo_workflows:*:*:*:*:*:go:*:* | 3.6.17 (excluyendo) | |
| cpe:2.3:a:argoproj:argo_workflows:*:*:*:*:*:go:*:* | 3.7.0 (incluyendo) | 3.7.8 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/argoproj/argo-workflows/blob/9872c296d29dcc5e9c78493054961ede9fc30797/server/artifacts/artifact_server.go#L194-L244
- https://github.com/argoproj/argo-workflows/commit/159a5c56285ecd4d3bb0a67aeef4507779a44e17
- https://github.com/argoproj/argo-workflows/releases/tag/v3.6.17
- https://github.com/argoproj/argo-workflows/releases/tag/v3.7.8
- https://github.com/argoproj/argo-workflows/security/advisories/GHSA-cv78-6m8q-ph82