Plateforme
go
Composant
github.com/argoproj/argo-workflows
Corrigé dans
3.6.13
3.7.1
3.6.12
La vulnérabilité CVE-2025-62156 est une faille de type Zipslip affectant Argo Workflows, un moteur d'orchestration de workflows basé sur Kubernetes. Cette faille permet à un attaquant d'écrire des fichiers arbitraires sur le système, ce qui peut conduire à une compromission complète. Elle touche les versions antérieures à 3.6.12. Une mise à jour vers la version 3.6.12 est disponible pour corriger cette vulnérabilité.
L'exploitation réussie de cette vulnérabilité Zipslip permet à un attaquant de manipuler le chemin d'accès lors de l'extraction d'archives ZIP, conduisant à l'écriture de fichiers en dehors du répertoire prévu. Cela peut être utilisé pour écraser des fichiers de configuration critiques, injecter du code malveillant ou même exécuter des commandes arbitraires sur le système. Le risque est particulièrement élevé si Argo Workflows est configuré pour permettre le téléchargement et l'extraction d'archives ZIP à partir de sources non fiables. Un attaquant pourrait, par exemple, créer un fichier ZIP malveillant contenant des chemins d'accès spécialement conçus pour écraser un fichier de configuration de Kubernetes, compromettant ainsi l'ensemble du cluster.
La vulnérabilité CVE-2025-62156 a été rendue publique le 5 novembre 2025. Il n'y a pas d'indications d'une présence sur le KEV (CISA Known Exploited Vulnerabilities) à ce jour. La probabilité d'exploitation est considérée comme moyenne, étant donné la complexité de la vulnérabilité Zipslip et le fait qu'elle nécessite une manipulation des archives ZIP. Aucun proof-of-concept (PoC) public n'est actuellement disponible, mais la nature de la vulnérabilité suggère qu'un tel PoC pourrait être développé relativement facilement.
Organizations deploying Argo Workflows in production environments, particularly those handling sensitive data or integrating with other critical systems, are at risk. Environments with older, unpatched versions of Argo Workflows are especially vulnerable. Shared hosting environments where multiple users have access to file upload functionalities also face increased risk.
• go / server:
find /opt/argoworkflows -type f -name '*.zip' -print0 | xargs -0 grep -i '\.\.\\'• generic web:
curl -I <argo_workflows_url>/path/to/zip/extraction | grep 'Content-Type:'disclosure
Statut de l'Exploit
EPSS
0.13% (percentile 33%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Argo Workflows vers la version 3.6.12 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est fortement recommandé de désactiver temporairement la fonctionnalité d'extraction d'archives ZIP si elle n'est pas essentielle. Si la désactivation n'est pas possible, mettez en œuvre des contrôles stricts sur les sources des archives ZIP et validez rigoureusement les chemins d'accès avant l'extraction. Envisagez également d'utiliser un WAF (Web Application Firewall) pour bloquer les requêtes contenant des chemins d'accès suspects dans les archives ZIP. Après la mise à jour, vérifiez que la fonctionnalité d'extraction d'archives ZIP fonctionne comme prévu et qu'aucun fichier inattendu n'est créé.
Actualice argo-workflows a la versión 3.6.12 o superior, o a la versión 3.7.3 o superior. Esto corrige la vulnerabilidad de path traversal que permite la escritura arbitraria de archivos y la sobreescritura de la configuración del contenedor. La actualización previene la posible escalada de privilegios y la persistencia dentro del contenedor afectado.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-62156 is a high-severity Zipslip vulnerability affecting Argo Workflows versions prior to 3.6.12. It allows attackers to potentially extract arbitrary files from the server.
You are affected if you are running Argo Workflows versions earlier than 3.6.12. Check your current version and upgrade immediately if vulnerable.
Upgrade Argo Workflows to version 3.6.12 or later. Implement temporary workarounds like restricting file uploads if an immediate upgrade is not possible.
While no public exploits are currently known, the vulnerability's nature suggests potential for exploitation. Monitor security advisories and threat intelligence feeds.
Refer to the official Argo Workflows security advisories on the Argo Projects website for detailed information and updates: [https://argoproj.github.io/workflows/security/](https://argoproj.github.io/workflows/security/)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.