Plateforme
go
Composant
github.com/argoproj/argo-workflows
Corrigé dans
3.0.1
3.0.1
2.5.4
3.7.5
La vulnérabilité CVE-2025-66626 est une faille d'exécution de code à distance (RCE) découverte dans Argo Workflows, un moteur d'orchestration de workflows basé sur Kubernetes. Cette faille, due à une mauvaise gestion des fichiers ZIP et à l'utilisation de liens symboliques, permet à un attaquant d'exécuter du code arbitraire sur le système. Elle affecte les versions antérieures à 3.7.5 et a été publiée le 15 décembre 2025. Une mise à jour vers la version 3.7.5 est recommandée pour corriger cette vulnérabilité.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de prendre le contrôle complet du système exécutant Argo Workflows. L'attaquant peut exécuter des commandes arbitraires, accéder à des données sensibles, modifier les workflows existants ou même compromettre l'ensemble du cluster Kubernetes. Le mécanisme d'exploitation repose sur l'injection de liens symboliques malveillants dans des fichiers ZIP, qui sont ensuite décompressés par Argo Workflows, permettant ainsi l'exécution de code non autorisé. Cette vulnérabilité présente un risque élevé en raison de sa facilité d'exploitation et de son impact potentiel sur la confidentialité, l'intégrité et la disponibilité des systèmes affectés. Elle rappelle les risques associés aux vulnérabilités ZipSlip, où une mauvaise gestion des fichiers ZIP peut conduire à des exécutions de code non intentionnelles.
La vulnérabilité CVE-2025-66626 est actuellement en cours d'évaluation par CISA. La probabilité d'exploitation est considérée comme moyenne en raison de la complexité relative de l'exploitation et de l'absence de preuves d'exploitation active à grande échelle. Aucun proof-of-concept (PoC) public n'est actuellement disponible, mais la nature de la vulnérabilité (ZipSlip) suggère qu'un PoC pourrait être développé rapidement. Il est conseillé de surveiller les sources d'informations sur les vulnérabilités et les forums de sécurité pour détecter toute nouvelle information concernant cette vulnérabilité.
Organizations deploying Argo Workflows in Kubernetes environments, particularly those processing untrusted zip files as part of their workflows, are at significant risk. Shared Kubernetes clusters where multiple teams or applications share resources are also at increased risk, as a compromised Argo Workflows instance could potentially impact other workloads.
• go: Monitor Argo Workflows logs for unusual file extraction patterns or errors related to zip file processing.
Get-WinEvent -LogName Application -Filter "EventID = 1000 -Message *= 'Argo Workflows' -Message *= 'zip extraction error'"• linux / server: Examine system logs (journalctl) for suspicious file creation or modification events within the Argo Workflows deployment directory.
journalctl -u argoworkflows -g 'zip extraction' --since "1h"• generic web: Inspect Argo Workflows API endpoints for unexpected file uploads or processing requests. Use curl to test for potential vulnerabilities.
curl -X POST -F '[email protected]' <argo_workflows_api_endpoint>disclosure
Statut de l'Exploit
EPSS
0.09% (percentile 26%)
CISA SSVC
Vecteur CVSS
La principale mesure d'atténuation consiste à mettre à jour Argo Workflows vers la version 3.7.5 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, des mesures temporaires peuvent être prises pour réduire le risque d'exploitation. Il est recommandé de désactiver temporairement le traitement des fichiers ZIP dans Argo Workflows si cela est possible sans impacter les fonctionnalités essentielles. De plus, une configuration stricte des politiques de sécurité Kubernetes peut limiter les privilèges accordés aux pods Argo Workflows, réduisant ainsi l'impact potentiel d'une exploitation réussie. Enfin, surveillez attentivement les journaux d'Argo Workflows pour détecter toute activité suspecte, notamment les tentatives d'accès à des fichiers non autorisés ou l'exécution de commandes inattendues.
Actualice Argo Workflows a la versión 3.6.14 o superior, o a la versión 3.7.5 o superior. Esto corrige la vulnerabilidad ZipSlip y de enlaces simbólicos que permite la ejecución remota de código. La actualización previene que un atacante sobrescriba archivos críticos y ejecute scripts maliciosos en su entorno de Kubernetes.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-66626 is a Remote Code Execution vulnerability in Argo Workflows versions before 3.7.5, allowing attackers to execute arbitrary code through crafted zip files.
You are affected if you are using Argo Workflows versions prior to 3.7.5 and processing untrusted zip files.
Upgrade Argo Workflows to version 3.7.5 or later. Implement input validation and restrict file system access as temporary mitigations.
While no widespread exploitation has been confirmed, the vulnerability is publicly known and the underlying ZipSlip technique is well-understood, increasing the risk of exploitation.
Refer to the Argo Workflows security advisory on the Argo Projects website for detailed information and updates: [https://argoproj.github.io/workflows/security/](https://argoproj.github.io/workflows/security/)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.