प्लेटफ़ॉर्म
go
घटक
github.com/argoproj/argo-workflows
में ठीक किया गया
3.6.13
3.7.1
3.6.12
Argo Workflows में एक Zipslip भेद्यता पाई गई है, जो github.com/argoproj/argo-workflows में मौजूद है। यह भेद्यता हमलावरों को मनमाने ढंग से फ़ाइलें लिखने की अनुमति दे सकती है, जिससे सिस्टम पर गंभीर प्रभाव पड़ सकता है। यह भेद्यता Argo Workflows के सभी संस्करणों को प्रभावित करती है। 3.6.12 संस्करण में इस समस्या का समाधान किया गया है।
Zipslip भेद्यता तब होती है जब एक एप्लिकेशन ज़िप फ़ाइल को अनज़िप करते समय उपयोगकर्ता-नियंत्रित इनपुट को ठीक से मान्य नहीं करता है। Argo Workflows के मामले में, एक हमलावर एक विशेष रूप से तैयार की गई ज़िप फ़ाइल का उपयोग करके मनमाने ढंग से फ़ाइलों को सिस्टम पर लिख सकता है। यह हमलावर को संवेदनशील डेटा तक पहुंचने, सिस्टम फ़ाइलों को संशोधित करने या यहां तक कि सिस्टम पर नियंत्रण प्राप्त करने की अनुमति दे सकता है। इस भेद्यता का उपयोग सिस्टम की सुरक्षा को गंभीर रूप से खतरे में डालने के लिए किया जा सकता है।
यह भेद्यता अभी सार्वजनिक रूप से सक्रिय रूप से शोषण नहीं की जा रही है, लेकिन Zipslip भेद्यताएँ अक्सर शोषण योग्य होती हैं। CISA ने अभी तक इस CVE को KEV में शामिल नहीं किया है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हो सकते हैं, इसलिए तत्काल शमन आवश्यक है।
Organizations deploying Argo Workflows in production environments, particularly those handling sensitive data or integrating with other critical systems, are at risk. Environments with older, unpatched versions of Argo Workflows are especially vulnerable. Shared hosting environments where multiple users have access to file upload functionalities also face increased risk.
• go / server:
find /opt/argoworkflows -type f -name '*.zip' -print0 | xargs -0 grep -i '\.\.\\'• generic web:
curl -I <argo_workflows_url>/path/to/zip/extraction | grep 'Content-Type:'disclosure
एक्सप्लॉइट स्थिति
EPSS
0.13% (33% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2025-62156 को कम करने के लिए, Argo Workflows को तुरंत 3.6.12 या बाद के संस्करण में अपडेट करें। यदि अपग्रेड संभव नहीं है, तो ज़िप फ़ाइलों को संभालने से बचें या इनपुट को सख्त रूप से मान्य करें। फ़ाइल पथों को मान्य करने के लिए व्हाइटलिस्टिंग का उपयोग करें और सुनिश्चित करें कि अनज़िप की गई फ़ाइलें अपेक्षित स्थान पर लिखी गई हैं। WAF नियमों को लागू करें जो ज़िप फ़ाइलों में असामान्य पथों का पता लगा सकें।
Actualice argo-workflows a la versión 3.6.12 o superior, o a la versión 3.7.3 o superior. Esto corrige la vulnerabilidad de path traversal que permite la escritura arbitraria de archivos y la sobreescritura de la configuración del contenedor. La actualización previene la posible escalada de privilegios y la persistencia dentro del contenedor afectado.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-62156 Argo Workflows में एक Zipslip भेद्यता है जो हमलावरों को मनमाने ढंग से फ़ाइलें लिखने की अनुमति देती है, जिससे सिस्टम समझौता हो सकता है।
यदि आप Argo Workflows के 3.6.12 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2025-62156 को ठीक करने के लिए, Argo Workflows को 3.6.12 या बाद के संस्करण में तुरंत अपडेट करें।
हालांकि अभी तक सक्रिय शोषण की कोई पुष्टि नहीं है, लेकिन Zipslip भेद्यताएँ अक्सर शोषण योग्य होती हैं, इसलिए तत्काल शमन की सिफारिश की जाती है।
आधिकारिक Argo Workflows सलाहकार के लिए, कृपया Argo Workflows वेबसाइट या GitHub रिपॉजिटरी पर जाएँ।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी go.mod फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।