| タイトル | Argo Project AuthorsのArgo Workflowsにおける不正な認証に関する脆弱性 |
|---|---|
| 概要 | Argo Workflowsは、Kubernetes上での並列ジョブのオーケストレーションのためのオープンソースのコンテナネイティブワークフローエンジンです。バージョン3.7.14および4.0.5より前のバージョンでは、Workflow作成権限を持つユーザーがtemplateReferencing: Strictをバイパスし、ホストネットワークへのアクセス、サービスアカウントの切り替え、Podセキュリティコンテキストの上書き、制御プレーンノードへのスケジューリングのためのトレランス追加、またはSAトークンマウントの有効化を行うことが可能でした。これは、この機能の目的を損なう行為です。実際の影響は、Kubernetesレベルでどのような制御があるかによります。PodSecurity AdmissionやOPA/Gatekeeperを使用しているクラスターでは、一部機能(例えばhostNetworkの使用)を独自にブロックします。ArgoのStrictモードを主な強制レイヤーとしているクラスターは完全に曝露されます。この問題はバージョン3.7.14および4.0.5で修正されました。 |
| 想定される影響 | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| 対策 | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年5月9日0:00 |
| 登録日 | 2026年5月18日11:30 |
| 最終更新日 | 2026年5月18日11:30 |
| CVSS3.0 : 重要 | |
| スコア | 8.1 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年05月18日] 掲載 |
2026年5月18日11:30 |
| 概要 | Argo Workflows is an open source container-native workflow engine for orchestrating parallel jobs on Kubernetes. Prior to versions 3.7.14 and 4.0.5, a user with create Workflow permission can bypass templateReferencing: Strict to get host network access, switch service accounts, override pod security context, add tolerations to schedule on control-plane nodes, or enable SA token mounting. This defeats the stated purpose of the feature. The practical impact depends on what Kubernetes-level controls are in place. Clusters with PodSecurity admission or OPA/Gatekeeper would independently block some of these (like hostNetwork). Clusters that rely on Argo's Strict mode as the primary enforcement layer are fully exposed. This issue has been patched in versions 3.7.14 and 4.0.5. |
|---|---|
| 公表日 | 2026年5月9日13:16 |
| 登録日 | 2026年5月10日4:10 |
| 最終更新日 | 2026年5月16日4:39 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:argoproj:argo_workflows:*:*:*:*:*:go:*:* | 3.7.14 | ||||
| cpe:2.3:a:argoproj:argo_workflows:*:*:*:*:*:go:*:* | 4.0.0 | 4.0.5 | |||