Plataforma
go
Componente
github.com/argoproj/argo-workflows
Corregido en
3.6.13
3.7.1
3.6.12
La vulnerabilidad CVE-2025-62156 es una falla de tipo Zipslip detectada en el componente github.com/argoproj/argo-workflows de Argo Workflows. Esta vulnerabilidad permite a un atacante extraer archivos arbitrarios del sistema, comprometiendo la confidencialidad e integridad de los datos. Afecta a versiones anteriores a 3.6.12 y se recomienda actualizar a la versión corregida o aplicar medidas de mitigación.
La falla Zipslip en Argo Workflows permite a un atacante manipular la extracción de archivos comprimidos, sobrescribiendo rutas de destino y extrayendo archivos fuera del directorio previsto. Esto puede resultar en la lectura de archivos confidenciales del sistema, la ejecución de código malicioso o la modificación de archivos críticos. Un atacante podría, por ejemplo, extraer archivos de configuración sensibles o archivos de código fuente que contengan credenciales. La severidad de este impacto se agrava si Argo Workflows se utiliza en entornos de producción con acceso a datos confidenciales o sistemas críticos.
La vulnerabilidad CVE-2025-62156 fue publicada el 5 de noviembre de 2025. No se ha confirmado la explotación activa de esta vulnerabilidad en entornos reales, pero la naturaleza de la falla Zipslip la convierte en un objetivo atractivo para los atacantes. Es importante implementar las medidas de mitigación lo antes posible para reducir el riesgo de explotación. No se encuentra en el KEV de CISA ni se ha asociado con campañas de explotación conocidas.
Organizations deploying Argo Workflows in production environments, particularly those handling sensitive data or integrating with other critical systems, are at risk. Environments with older, unpatched versions of Argo Workflows are especially vulnerable. Shared hosting environments where multiple users have access to file upload functionalities also face increased risk.
• go / server:
find /opt/argoworkflows -type f -name '*.zip' -print0 | xargs -0 grep -i '\.\.\\'• generic web:
curl -I <argo_workflows_url>/path/to/zip/extraction | grep 'Content-Type:'disclosure
Estado del Exploit
EPSS
0.13% (33% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-62156 es actualizar Argo Workflows a la versión 3.6.12 o superior, que incluye la corrección de la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso a los archivos comprimidos, validar las rutas de destino de la extracción y utilizar un sistema de control de acceso basado en roles. Además, se puede considerar la implementación de un Web Application Firewall (WAF) para filtrar solicitudes maliciosas que intenten explotar la vulnerabilidad. Verifique la actualización aplicando una prueba de extracción de archivos con rutas controladas para confirmar la corrección.
Actualice argo-workflows a la versión 3.6.12 o superior, o a la versión 3.7.3 o superior. Esto corrige la vulnerabilidad de path traversal que permite la escritura arbitraria de archivos y la sobreescritura de la configuración del contenedor. La actualización previene la posible escalada de privilegios y la persistencia dentro del contenedor afectado.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-62156 is a high-severity Zipslip vulnerability affecting Argo Workflows versions prior to 3.6.12. It allows attackers to potentially extract arbitrary files from the server.
You are affected if you are running Argo Workflows versions earlier than 3.6.12. Check your current version and upgrade immediately if vulnerable.
Upgrade Argo Workflows to version 3.6.12 or later. Implement temporary workarounds like restricting file uploads if an immediate upgrade is not possible.
While no public exploits are currently known, the vulnerability's nature suggests potential for exploitation. Monitor security advisories and threat intelligence feeds.
Refer to the official Argo Workflows security advisories on the Argo Projects website for detailed information and updates: [https://argoproj.github.io/workflows/security/](https://argoproj.github.io/workflows/security/)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.