Platform
go
Component
github.com/argoproj/argo-workflows
Opgelost in
3.6.13
3.7.1
3.6.12
CVE-2025-62156 beschrijft een Zipslip kwetsbaarheid in Argo Workflows, een open-source workflow engine. Deze kwetsbaarheid stelt een aanvaller in staat om willekeurige bestanden op het systeem te schrijven, wat potentieel kan leiden tot code-uitvoering en volledige controle over de server. De kwetsbaarheid treft versies van Argo Workflows vóór 3.6.12. Een patch is beschikbaar in versie 3.6.12.
De Zipslip kwetsbaarheid in Argo Workflows maakt het mogelijk voor een kwaadwillende gebruiker om bestanden buiten de beoogde extractie directory te schrijven. Dit gebeurt door middel van manipulatie van de zip-bestandsstructuur. Een aanvaller kan bijvoorbeeld een zip-bestand maken met een pad zoals '../etc/passwd' om het wachtwoordbestand te overschrijven. Dit kan leiden tot het compromitteren van de server, het verkrijgen van gevoelige informatie, en het uitvoeren van willekeurige code. De impact is aanzienlijk, aangezien een succesvolle exploit volledige controle over de server kan opleveren. De mogelijkheid om willekeurige bestanden te schrijven, opent de deur naar diverse aanvallen, waaronder het installeren van malware en het verkrijgen van toegang tot andere systemen binnen het netwerk.
Op dit moment is er geen openbare exploitatie van CVE-2025-62156 bekend. De kwetsbaarheid is opgenomen in het CISA KEV catalogus, wat duidt op een potentieel risico. Er zijn geen actieve campagnes gemeld. De publicatie van de CVE op 2025-11-05 geeft aan dat de kwetsbaarheid recent is ontdekt en dat er mogelijk nog geen exploitatie heeft plaatsgevonden, maar de Zipslip kwetsbaarheid is in het verleden succesvol geëxploiteerd in andere systemen.
Organizations deploying Argo Workflows in production environments, particularly those handling sensitive data or integrating with other critical systems, are at risk. Environments with older, unpatched versions of Argo Workflows are especially vulnerable. Shared hosting environments where multiple users have access to file upload functionalities also face increased risk.
• go / server:
find /opt/argoworkflows -type f -name '*.zip' -print0 | xargs -0 grep -i '\.\.\\'• generic web:
curl -I <argo_workflows_url>/path/to/zip/extraction | grep 'Content-Type:'disclosure
Exploit Status
EPSS
0.13% (33% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-62156 is het upgraden naar Argo Workflows versie 3.6.12 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van een Web Application Firewall (WAF) die zip-extractie-aanvragen filtert en potentieel schadelijke paden blokkeert. Zorg ervoor dat de Argo Workflows omgeving is geïsoleerd van andere systemen om de impact van een succesvolle exploit te beperken. Controleer de configuratie van Argo Workflows om te verzekeren dat er geen onnodige rechten zijn verleend aan de gebruiker die de workflows uitvoert. Na de upgrade, controleer de logbestanden op ongebruikelijke activiteiten gerelateerd aan zip-extractie om te bevestigen dat de kwetsbaarheid is verholpen.
Actualice argo-workflows a la versión 3.6.12 o superior, o a la versión 3.7.3 o superior. Esto corrige la vulnerabilidad de path traversal que permite la escritura arbitraria de archivos y la sobreescritura de la configuración del contenedor. La actualización previene la posible escalada de privilegios y la persistencia dentro del contenedor afectado.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-62156 is a high-severity Zipslip vulnerability affecting Argo Workflows versions prior to 3.6.12. It allows attackers to potentially extract arbitrary files from the server.
You are affected if you are running Argo Workflows versions earlier than 3.6.12. Check your current version and upgrade immediately if vulnerable.
Upgrade Argo Workflows to version 3.6.12 or later. Implement temporary workarounds like restricting file uploads if an immediate upgrade is not possible.
While no public exploits are currently known, the vulnerability's nature suggests potential for exploitation. Monitor security advisories and threat intelligence feeds.
Refer to the official Argo Workflows security advisories on the Argo Projects website for detailed information and updates: [https://argoproj.github.io/workflows/security/](https://argoproj.github.io/workflows/security/)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.