Plataforma
go
Componente
github.com/argoproj/argo-workflows
Corrigido em
3.6.13
3.7.1
3.6.12
A vulnerabilidade CVE-2025-62156 é uma falha do tipo Zipslip identificada no componente github.com/argoproj/argo-workflows do Argo Workflows. Essa falha permite que um atacante escreva arquivos arbitrariamente no sistema, potencialmente levando à execução de código malicioso. A vulnerabilidade afeta versões anteriores a 3.6.12 e foi publicada em 5 de novembro de 2025. A correção está disponível na versão 3.6.12.
A exploração bem-sucedida da vulnerabilidade Zipslip em Argo Workflows pode permitir que um atacante obtenha controle total sobre o sistema. Ao manipular o processo de extração de arquivos, um atacante pode injetar arquivos maliciosos em locais inesperados, como diretórios de sistema ou pastas de configuração. Isso pode levar à execução de código remoto (RCE), comprometendo a confidencialidade, integridade e disponibilidade dos dados e serviços. A falha reside na falta de validação adequada dos caminhos de arquivos durante a extração de arquivos ZIP, permitindo que um atacante manipule o caminho de destino para escrever arquivos fora do diretório pretendido. A gravidade da vulnerabilidade é alta devido ao potencial de execução remota de código e à facilidade de exploração.
A vulnerabilidade CVE-2025-62156 foi publicada em 5 de novembro de 2025. A probabilidade de exploração é considerada média, dada a natureza do tipo Zipslip e a disponibilidade potencial de ferramentas de exploração. Não há informações disponíveis sobre campanhas de exploração ativas ou a inclusão da CVE no KEV (CISA Known Exploited Vulnerabilities) até o momento. É importante monitorar as fontes de inteligência de ameaças para detectar qualquer atividade maliciosa relacionada a essa vulnerabilidade.
Organizations deploying Argo Workflows in production environments, particularly those handling sensitive data or integrating with other critical systems, are at risk. Environments with older, unpatched versions of Argo Workflows are especially vulnerable. Shared hosting environments where multiple users have access to file upload functionalities also face increased risk.
• go / server:
find /opt/argoworkflows -type f -name '*.zip' -print0 | xargs -0 grep -i '\.\.\\'• generic web:
curl -I <argo_workflows_url>/path/to/zip/extraction | grep 'Content-Type:'disclosure
Status do Exploit
EPSS
0.13% (percentil 33%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2025-62156 é atualizar o Argo Workflows para a versão 3.6.12 ou superior, que inclui a correção para essa vulnerabilidade. Se a atualização imediata não for possível, considere implementar controles de validação de arquivos mais rigorosos para restringir os locais onde os arquivos podem ser extraídos. Implemente regras de firewall ou proxy para bloquear o acesso não autorizado ao componente Argo Workflows. Monitore os logs do sistema em busca de atividades suspeitas relacionadas à extração de arquivos ou escrita de arquivos em locais inesperados. Após a atualização, confirme a correção verificando se os caminhos de arquivos extraídos são devidamente validados e se não é possível escrever arquivos fora do diretório pretendido.
Actualice argo-workflows a la versión 3.6.12 o superior, o a la versión 3.7.3 o superior. Esto corrige la vulnerabilidad de path traversal que permite la escritura arbitraria de archivos y la sobreescritura de la configuración del contenedor. La actualización previene la posible escalada de privilegios y la persistencia dentro del contenedor afectado.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-62156 is a high-severity Zipslip vulnerability affecting Argo Workflows versions prior to 3.6.12. It allows attackers to potentially extract arbitrary files from the server.
You are affected if you are running Argo Workflows versions earlier than 3.6.12. Check your current version and upgrade immediately if vulnerable.
Upgrade Argo Workflows to version 3.6.12 or later. Implement temporary workarounds like restricting file uploads if an immediate upgrade is not possible.
While no public exploits are currently known, the vulnerability's nature suggests potential for exploitation. Monitor security advisories and threat intelligence feeds.
Refer to the official Argo Workflows security advisories on the Argo Projects website for detailed information and updates: [https://argoproj.github.io/workflows/security/](https://argoproj.github.io/workflows/security/)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.