Plataforma
go
Componente
github.com/argoproj/argo-workflows
Corregido en
3.0.1
3.0.1
2.5.4
3.7.5
La vulnerabilidad CVE-2025-66626 es una ejecución remota de código (RCE) descubierta en Argo Workflows, una plataforma de orquestación de flujos de trabajo. Esta falla, causada por una combinación de ZipSlip y el manejo inadecuado de enlaces simbólicos, permite a un atacante ejecutar comandos arbitrarios en el sistema. Las versiones afectadas son aquellas anteriores a 3.7.5; se recomienda actualizar a la versión corregida para mitigar el riesgo.
La gravedad de esta vulnerabilidad radica en su potencial para permitir la ejecución remota de código. Un atacante podría aprovechar esta falla para subir archivos maliciosos, ejecutar comandos arbitrarios con los privilegios del proceso Argo Workflows, y potencialmente comprometer todo el sistema. El ataque se basa en la manipulación de archivos ZIP para crear enlaces simbólicos que apuntan a ubicaciones arbitrarias en el sistema de archivos. Esto es similar a ataques ZipSlip que han afectado a otras aplicaciones que procesan archivos ZIP sin una validación adecuada. El impacto potencial incluye la pérdida de confidencialidad, integridad y disponibilidad de los datos.
La vulnerabilidad CVE-2025-66626 fue publicada el 15 de diciembre de 2025. No se ha añadido a la lista KEV de CISA al momento de la redacción. La probabilidad de explotación se considera media, dado que la vulnerabilidad permite la ejecución remota de código y podría ser explotada por atacantes con conocimientos técnicos. No se han reportado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad sugiere que podrían desarrollarse en el futuro.
Organizations deploying Argo Workflows in Kubernetes environments, particularly those processing untrusted zip files as part of their workflows, are at significant risk. Shared Kubernetes clusters where multiple teams or applications share resources are also at increased risk, as a compromised Argo Workflows instance could potentially impact other workloads.
• go: Monitor Argo Workflows logs for unusual file extraction patterns or errors related to zip file processing.
Get-WinEvent -LogName Application -Filter "EventID = 1000 -Message *= 'Argo Workflows' -Message *= 'zip extraction error'"• linux / server: Examine system logs (journalctl) for suspicious file creation or modification events within the Argo Workflows deployment directory.
journalctl -u argoworkflows -g 'zip extraction' --since "1h"• generic web: Inspect Argo Workflows API endpoints for unexpected file uploads or processing requests. Use curl to test for potential vulnerabilities.
curl -X POST -F '[email protected]' <argo_workflows_api_endpoint>disclosure
Estado del Exploit
EPSS
0.09% (26% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-66626 es actualizar Argo Workflows a la versión 3.7.5 o superior, que incluye la corrección de esta vulnerabilidad. Si la actualización inmediata no es posible, se recomienda implementar medidas de seguridad adicionales. Estas pueden incluir la restricción del acceso a los archivos ZIP procesados por Argo Workflows, la implementación de un sistema de detección de intrusiones que monitoree la creación de enlaces simbólicos inesperados, y la configuración de un WAF (Web Application Firewall) para bloquear solicitudes maliciosas. Verifique después de la actualización que Argo Workflows se esté ejecutando correctamente y que los flujos de trabajo se estén procesando sin errores.
Actualice Argo Workflows a la versión 3.6.14 o superior, o a la versión 3.7.5 o superior. Esto corrige la vulnerabilidad ZipSlip y de enlaces simbólicos que permite la ejecución remota de código. La actualización previene que un atacante sobrescriba archivos críticos y ejecute scripts maliciosos en su entorno de Kubernetes.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-66626 is a Remote Code Execution vulnerability in Argo Workflows versions before 3.7.5, allowing attackers to execute arbitrary code through crafted zip files.
You are affected if you are using Argo Workflows versions prior to 3.7.5 and processing untrusted zip files.
Upgrade Argo Workflows to version 3.7.5 or later. Implement input validation and restrict file system access as temporary mitigations.
While no widespread exploitation has been confirmed, the vulnerability is publicly known and the underlying ZipSlip technique is well-understood, increasing the risk of exploitation.
Refer to the Argo Workflows security advisory on the Argo Projects website for detailed information and updates: [https://argoproj.github.io/workflows/security/](https://argoproj.github.io/workflows/security/)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.