プラットフォーム
go
コンポーネント
github.com/argoproj/argo-workflows
修正版
3.6.13
3.7.1
3.6.12
CVE-2025-62156は、Argo Workflowsのgithub.com/argoproj/argo-workflowsコンポーネントにおけるZipslip脆弱性です。この脆弱性を悪用されると、攻撃者はシステム上の任意の場所にファイルを書き込むことが可能となり、機密情報の漏洩やシステムの改ざんにつながる可能性があります。影響を受けるバージョンは特定されていませんが、3.6.12で修正されています。最新バージョンへのアップデートを推奨します。
Zipslip脆弱性は、圧縮されたアーカイブファイルを展開する際に、ファイルパスの検証が不十分なために発生します。攻撃者は、巧妙に細工されたアーカイブファイルを作成し、展開時に意図しない場所にファイルを書き込むことができます。Argo Workflowsにおいては、この脆弱性を悪用されると、攻撃者はシステム上の重要な設定ファイルや実行ファイルを書き換え、システムを完全に制御下に置くことが可能になります。特に、Argo Workflowsが特権ユーザーとして実行されている場合、影響は甚大です。この脆弱性は、類似のZipslip脆弱性と同様に、システム全体のセキュリティを脅かす深刻な問題です。
CVE-2025-62156は、2025年11月5日に公開されました。現時点では、KEV(Known Exploited Vulnerabilities)には登録されていません。EPSS(Exploit Prediction Scoring System)スコアは未評価です。公的なPoC(Proof of Concept)は確認されていませんが、Zipslip脆弱性は過去に多くのシステムで悪用されている実績があり、今後悪用される可能性は否定できません。NVD(National Vulnerability Database)およびCISA(Cybersecurity and Infrastructure Security Agency)の情報を常に確認し、最新の脅威動向を把握することが重要です。
Organizations deploying Argo Workflows in production environments, particularly those handling sensitive data or integrating with other critical systems, are at risk. Environments with older, unpatched versions of Argo Workflows are especially vulnerable. Shared hosting environments where multiple users have access to file upload functionalities also face increased risk.
• go / server:
find /opt/argoworkflows -type f -name '*.zip' -print0 | xargs -0 grep -i '\.\.\\'• generic web:
curl -I <argo_workflows_url>/path/to/zip/extraction | grep 'Content-Type:'disclosure
エクスプロイト状況
EPSS
0.13% (33% パーセンタイル)
CISA SSVC
CVSS ベクトル
Argo Workflowsの3.6.12へのアップデートが最も効果的な対策です。アップデートが困難な場合は、一時的な回避策として、信頼できないソースからのアーカイブファイルの展開を禁止する設定を検討してください。また、WAF(Web Application Firewall)やプロキシサーバーを使用して、悪意のあるアーカイブファイルがシステムに到達するのを防ぐことも有効です。ファイル展開処理におけるパスの検証を強化し、不正なファイルパスが使用されないようにする必要があります。展開処理のログを監視し、異常なファイル展開の兆候を早期に発見することも重要です。
Actualice argo-workflows a la versión 3.6.12 o superior, o a la versión 3.7.3 o superior. Esto corrige la vulnerabilidad de path traversal que permite la escritura arbitraria de archivos y la sobreescritura de la configuración del contenedor. La actualización previene la posible escalada de privilegios y la persistencia dentro del contenedor afectado.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-62156は、Argo Workflowsのgithub.com/argoproj/argo-workflowsコンポーネントにおけるZipslip脆弱性です。攻撃者は、悪意のあるアーカイブファイルを展開することで、任意の場所にファイルを書き込む可能性があります。
影響を受けるバージョンは特定されていませんが、Argo Workflowsを使用している場合は、脆弱性への影響を評価し、適切な対策を講じる必要があります。
Argo Workflowsを3.6.12以降のバージョンにアップデートしてください。アップデートが困難な場合は、一時的な回避策として、信頼できないソースからのアーカイブファイルの展開を禁止する設定を検討してください。
現時点では、公的なPoCは確認されていませんが、Zipslip脆弱性は過去に多くのシステムで悪用されている実績があり、今後悪用される可能性は否定できません。
Argo Workflowsの公式アドバイザリは、Argoプロジェクトのウェブサイトで確認できます。https://argo-workflows.readthedocs.io/en/stable/
go.mod ファイルをアップロードすると、影響の有無を即座にお知らせします。