プラットフォーム
go
コンポーネント
github.com/argoproj/argo-workflows
修正版
3.0.1
3.0.1
2.5.4
3.7.5
CVE-2025-66626は、argoproj/argo-workflowsにおいて発見されたリモートコード実行(RCE)の脆弱性です。この脆弱性は、ZipSlipの悪用とシンボリックリンクの利用を組み合わせることで、攻撃者が任意のコードを実行することを可能にします。影響を受けるバージョンは3.7.5より前のバージョンであり、3.7.5へのアップデートによって修正されています。
このRCE脆弱性を悪用されると、攻撃者はargo-workflowsの実行環境上で任意のコマンドを実行できるようになります。これにより、機密情報の窃取、システムの改ざん、さらにはシステム全体の制御権の奪取といった深刻な被害が発生する可能性があります。ZipSlip脆弱性は、ファイル展開時にパス操作を適切に行わない場合に発生し、シンボリックリンクを悪用することで、意図しないファイルにアクセスすることを可能にします。この脆弱性は、Log4Shellのようなサプライチェーン攻撃のパターンと類似しており、広範囲な影響を及ぼす可能性があります。
この脆弱性は、公開されており、攻撃者による悪用が懸念されます。現時点では、KEV(Known Exploited Vulnerabilities)に登録されていませんが、CVSSスコアがHIGHであるため、今後登録される可能性があります。公開されているPoC(Proof of Concept)が存在するかどうかは不明ですが、攻撃者による悪用を想定し、早急な対応が必要です。NVD(National Vulnerability Database)およびCISA(Cybersecurity and Infrastructure Security Agency)の情報を定期的に確認し、最新の情報を入手するようにしてください。
Organizations deploying Argo Workflows in Kubernetes environments, particularly those processing untrusted zip files as part of their workflows, are at significant risk. Shared Kubernetes clusters where multiple teams or applications share resources are also at increased risk, as a compromised Argo Workflows instance could potentially impact other workloads.
• go: Monitor Argo Workflows logs for unusual file extraction patterns or errors related to zip file processing.
Get-WinEvent -LogName Application -Filter "EventID = 1000 -Message *= 'Argo Workflows' -Message *= 'zip extraction error'"• linux / server: Examine system logs (journalctl) for suspicious file creation or modification events within the Argo Workflows deployment directory.
journalctl -u argoworkflows -g 'zip extraction' --since "1h"• generic web: Inspect Argo Workflows API endpoints for unexpected file uploads or processing requests. Use curl to test for potential vulnerabilities.
curl -X POST -F '[email protected]' <argo_workflows_api_endpoint>disclosure
エクスプロイト状況
EPSS
0.09% (26% パーセンタイル)
CISA SSVC
CVSS ベクトル
まず、argoproj/argo-workflowsを3.7.5以上にアップデートすることを強く推奨します。アップデートが直ちに困難な場合は、ワークフローのファイル展開処理において、シンボリックリンクの解決を禁止する設定を検討してください。また、WAFやプロキシサーバーを使用して、悪意のあるシンボリックリンクを含むリクエストをブロックすることも有効です。特定のIOC(悪意のあるファイル名やディレクトリ)を監視し、異常な活動を検知するためのルールを導入することも重要です。アップデート後、argo-workflowsのバージョンを確認し、脆弱性が修正されていることを確認してください。
Actualice Argo Workflows a la versión 3.6.14 o superior, o a la versión 3.7.5 o superior. Esto corrige la vulnerabilidad ZipSlip y de enlaces simbólicos que permite la ejecución remota de código. La actualización previene que un atacante sobrescriba archivos críticos y ejecute scripts maliciosos en su entorno de Kubernetes.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-66626は、argoproj/argo-workflowsにおけるZipSlip脆弱性とシンボリックリンクの悪用によるリモートコード実行(RCE)の脆弱性です。攻撃者はこの脆弱性を利用して、任意のコードを実行できる可能性があります。
argoproj/argo-workflowsのバージョンが3.7.5より前の場合は、影響を受けます。速やかに3.7.5以上にアップデートしてください。
argoproj/argo-workflowsを3.7.5以上にアップデートしてください。アップデートが困難な場合は、シンボリックリンクの解決を禁止する設定を検討してください。
現時点では、積極的に悪用されているという報告はありませんが、公開されているため、攻撃者による悪用が懸念されます。
Argo Workflowsの公式ウェブサイトまたはGitHubリポジトリで、CVE-2025-66626に関するアドバイザリをご確認ください。
go.mod ファイルをアップロードすると、影響の有無を即座にお知らせします。