ZipSlip और प्रतीकात्मक लिंक के माध्यम से RCE argoproj/argo-workflows में github.com/argoproj/argo-workflows में

यह भेद्यता हमलावरों को argoproj/argo-workflows सर्वर पर मनमाना कोड निष्पादित करने की अनुमति देती है। एक हमलावर ZipSlip और सिम्बोलिक लिंक का उपयोग करके मनमाना फ़ाइलें बना या ओवरराइट कर सकता है, जिससे सिस्टम समझौता हो सकता है। संभावित प्रभाव में डेटा चोरी, सिस्टम नियंत्रण का नुकसान और अन्य दुर्भावनापूर्ण गतिविधियाँ शामिल हैं। इस भेद्यता का शोषण करने के लिए, एक हमलावर को argoproj/argo-workflows सर्वर तक पहुंच की आवश्यकता होगी। यदि सर्वर सार्वजनिक रूप से उजागर है, तो भेद्यता का शोषण करना आसान हो सकता है। इस भेद्यता का प्रभाव व्यापक हो सकता है, क्योंकि यह कई संगठनों को प्रभावित कर सकता है जो argoproj/argo-workflows का उपयोग करते हैं।

Organizations deploying Argo Workflows in Kubernetes environments, particularly those processing untrusted zip files as part of their workflows, are at significant risk. Shared Kubernetes clusters where multiple teams or applications share resources are also at increased risk, as a compromised Argo Workflows instance could potentially impact other workloads.

• go: Monitor Argo Workflows logs for unusual file extraction patterns or errors related to zip file processing.

Get-WinEvent -LogName Application -Filter "EventID = 1000 -Message *= 'Argo Workflows' -Message *= 'zip extraction error'"

• linux / server: Examine system logs (journalctl) for suspicious file creation or modification events within the Argo Workflows deployment directory.

journalctl -u argoworkflows -g 'zip extraction' --since "1h"

• generic web: Inspect Argo Workflows API endpoints for unexpected file uploads or processing requests. Use curl to test for potential vulnerabilities.

curl -X POST -F '[email protected]' <argo_workflows_api_endpoint>

1. 2025-12-15Disclosure

   disclosure

1. आरक्षित2025-12-05
2. प्रकाशित2025-12-15
3. संशोधित2026-02-04
4. EPSS अद्यतन2026-03-23

CVE-2025-66626 को कम करने के लिए, argoproj/argo-workflows को संस्करण 3.7.5 या बाद के संस्करण में तुरंत अपडेट करें। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप argoproj/argo-workflows सर्वर पर फ़ाइल सिस्टम एक्सेस को प्रतिबंधित कर सकते हैं। आप एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके ZipSlip और सिम्बोलिक लिंक से संबंधित हमलों को भी ब्लॉक कर सकते हैं। इसके अतिरिक्त, argoproj/argo-workflows सर्वर पर लॉगिंग और मॉनिटरिंग को सक्षम करें ताकि किसी भी संदिग्ध गतिविधि का पता लगाया जा सके। अपग्रेड के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, यह सुनिश्चित करने के लिए कि कोई भी अनधिकृत फ़ाइलें नहीं बनाई गई हैं या संशोधित नहीं की गई हैं।