Argo Workflows 允许在“客户端”模式下使用虚假令牌访问已存档的工作流 (CVE-2024-53862)
CVE编号
CVE-2024-53862
利用情况
暂无
补丁情况
N/A
披露时间
2024-12-03
漏洞描述
Argo Workflows是一个开源的容器原生工作流引擎,用于在Kubernetes上协调并行任务。在使用`--auth-mode=client`时,可以通过GET工作流端点`/api/v1/workflows/{namespace}/{name}`使用伪造令牌检索存档的工作流。当使用`--auth-mode=sso`时,可以使用有效令牌通过GET工作流端点`/api/v1/workflows/{namespace}/{name}`检索所有存档的工作流。服务器本身不会对客户端令牌执行身份验证。身份验证和授权被委托给k8s API服务器。但是,工作流存档不与k8s交互,因此任何看似有效的令牌都将被视为已验证的,即使它不是k8s令牌,或者令牌对Argo没有RBAC权限。为了处理缺乏k8s身份验证和授权的传递,工作流存档会执行等同于`kubectl auth can-i`检查的相应方法。在版本3.5.7和3.5.8中,对工作流端点获取存档工作流的备用路径上的身份验证检查意外被移除,这使得可以使用伪造令牌检索存档的工作流。此漏洞已在版本3.6.2和3.5.13中得到修复。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
https://access.redhat.com/security/cve/CVE-2024-53862
https://github.com/argoproj/argo-workflows/pull/13021/files#diff-a5b255abaced...
https://github.com/argoproj/argo-workflows/security/advisories/GHSA-h36c-m3rf-34h9
文章评论