Platform
go
Component
github.com/argoproj/argo-workflows
Opgelost in
3.0.1
3.0.1
2.5.4
3.7.5
CVE-2025-66626 beschrijft een Remote Code Execution (RCE) kwetsbaarheid in argoproj/argo-workflows, een workflow engine. Deze kwetsbaarheid maakt het mogelijk voor een aanvaller om willekeurige code uit te voeren door middel van ZipSlip en het misbruiken van symbolische links. De kwetsbaarheid treft versies van Argo Workflows vóór 3.7.5. Een patch is beschikbaar in versie 3.7.5.
Deze RCE kwetsbaarheid stelt een aanvaller in staat om, indien succesvol geëxploiteerd, willekeurige code uit te voeren binnen de context van de Argo Workflows-omgeving. Dit kan leiden tot volledige controle over het systeem, inclusief data-exfiltratie, configuratiewijzigingen en het lanceren van aanvallen op andere systemen binnen het netwerk. De ZipSlip kwetsbaarheid, in combinatie met symbolische links, maakt het mogelijk om bestanden buiten de beoogde extractie directory te schrijven, waardoor de aanvaller toegang kan krijgen tot gevoelige systeembestanden en configuraties. Dit patroon is vergelijkbaar met eerdere ZipSlip kwetsbaarheden die in andere software zijn aangetroffen, wat de ernst ervan benadrukt.
De kwetsbaarheid is openbaar bekend sinds 2025-12-15. Er is geen informatie beschikbaar over actieve campagnes of KEV-status op het moment van schrijven. Er zijn geen publiekelijk beschikbare Proof-of-Concept (PoC) exploits bekend, maar de aard van de kwetsbaarheid maakt het waarschijnlijk dat deze in de toekomst zullen verschijnen. De CVSS score van 8.1 (HIGH) duidt op een significant risico.
Organizations deploying Argo Workflows in Kubernetes environments, particularly those processing untrusted zip files as part of their workflows, are at significant risk. Shared Kubernetes clusters where multiple teams or applications share resources are also at increased risk, as a compromised Argo Workflows instance could potentially impact other workloads.
• go: Monitor Argo Workflows logs for unusual file extraction patterns or errors related to zip file processing.
Get-WinEvent -LogName Application -Filter "EventID = 1000 -Message *= 'Argo Workflows' -Message *= 'zip extraction error'"• linux / server: Examine system logs (journalctl) for suspicious file creation or modification events within the Argo Workflows deployment directory.
journalctl -u argoworkflows -g 'zip extraction' --since "1h"• generic web: Inspect Argo Workflows API endpoints for unexpected file uploads or processing requests. Use curl to test for potential vulnerabilities.
curl -X POST -F '[email protected]' <argo_workflows_api_endpoint>disclosure
Exploit Status
EPSS
0.09% (26% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar versie 3.7.5 of hoger van Argo Workflows. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van restricties op de extractie van ZIP-bestanden om ZipSlip te voorkomen. Dit kan worden bereikt door de extractie directory te beperken en ervoor te zorgen dat symbolische links worden genegeerd tijdens het extractieproces. Gebruik een Web Application Firewall (WAF) om verdachte ZIP-bestanden te blokkeren of te inspecteren. Monitor Argo Workflows logs op ongebruikelijke activiteit, zoals het schrijven van bestanden naar onverwachte locaties. Na de upgrade, verifieer de fix door een test ZIP-bestand met symbolische links te uploaden en te controleren of de extractie beperkt blijft tot de beoogde directory.
Actualice Argo Workflows a la versión 3.6.14 o superior, o a la versión 3.7.5 o superior. Esto corrige la vulnerabilidad ZipSlip y de enlaces simbólicos que permite la ejecución remota de código. La actualización previene que un atacante sobrescriba archivos críticos y ejecute scripts maliciosos en su entorno de Kubernetes.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-66626 is a Remote Code Execution vulnerability in Argo Workflows versions before 3.7.5, allowing attackers to execute arbitrary code through crafted zip files.
You are affected if you are using Argo Workflows versions prior to 3.7.5 and processing untrusted zip files.
Upgrade Argo Workflows to version 3.7.5 or later. Implement input validation and restrict file system access as temporary mitigations.
While no widespread exploitation has been confirmed, the vulnerability is publicly known and the underlying ZipSlip technique is well-understood, increasing the risk of exploitation.
Refer to the Argo Workflows security advisory on the Argo Projects website for detailed information and updates: [https://argoproj.github.io/workflows/security/](https://argoproj.github.io/workflows/security/)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.