Plataforma
go
Componente
github.com/argoproj/argo-workflows
Corrigido em
3.0.1
3.0.1
2.5.4
3.7.5
A vulnerabilidade CVE-2025-66626 representa uma falha de Execução Remota de Código (RCE) descoberta no projeto Argo Workflows, hospedado no GitHub. Essa falha, explorável através de técnicas de ZipSlip e manipulação de links simbólicos, permite que um atacante execute código arbitrário no sistema. Versões do Argo Workflows anteriores à 3.7.5 são suscetíveis. A correção foi disponibilizada na versão 3.7.5.
A exploração bem-sucedida desta vulnerabilidade permite a um atacante obter controle total sobre o sistema onde o Argo Workflows está em execução. Isso pode incluir a leitura de dados confidenciais, a modificação de arquivos, a instalação de malware e o uso do sistema comprometido como ponto de apoio para ataques a outros sistemas na rede. A técnica de ZipSlip, combinada com links simbólicos, permite a escrita de arquivos em locais inesperados, contornando as proteções de segurança. O impacto potencial é significativo, especialmente em ambientes onde o Argo Workflows é usado para orquestrar pipelines de CI/CD ou outras tarefas críticas.
A vulnerabilidade foi divulgada em 15 de dezembro de 2025. A pontuação de severidade é alta (CVSS 8.1). Não há informações disponíveis sobre a adição a KEV (CISA Known Exploited Vulnerabilities) no momento da redação. A existência de um Proof of Concept (PoC) público pode aumentar a probabilidade de exploração. É crucial monitorar a atividade de ameaças e aplicar as correções ou mitigações o mais rápido possível.
Organizations deploying Argo Workflows in Kubernetes environments, particularly those processing untrusted zip files as part of their workflows, are at significant risk. Shared Kubernetes clusters where multiple teams or applications share resources are also at increased risk, as a compromised Argo Workflows instance could potentially impact other workloads.
• go: Monitor Argo Workflows logs for unusual file extraction patterns or errors related to zip file processing.
Get-WinEvent -LogName Application -Filter "EventID = 1000 -Message *= 'Argo Workflows' -Message *= 'zip extraction error'"• linux / server: Examine system logs (journalctl) for suspicious file creation or modification events within the Argo Workflows deployment directory.
journalctl -u argoworkflows -g 'zip extraction' --since "1h"• generic web: Inspect Argo Workflows API endpoints for unexpected file uploads or processing requests. Use curl to test for potential vulnerabilities.
curl -X POST -F '[email protected]' <argo_workflows_api_endpoint>disclosure
Status do Exploit
EPSS
0.09% (percentil 26%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2025-66626 é a atualização imediata para a versão 3.7.5 ou superior do Argo Workflows. Se a atualização não for possível no momento, considere implementar medidas de mitigação, como restringir o acesso à API do Argo Workflows, validar rigorosamente os arquivos ZIP processados e desabilitar a extração de arquivos ZIP em diretórios sensíveis. Monitore os logs do Argo Workflows em busca de atividades suspeitas, como tentativas de manipulação de links simbólicos ou extração de arquivos em locais inesperados. Implementar um WAF (Web Application Firewall) pode ajudar a bloquear solicitações maliciosas.
Actualice Argo Workflows a la versión 3.6.14 o superior, o a la versión 3.7.5 o superior. Esto corrige la vulnerabilidad ZipSlip y de enlaces simbólicos que permite la ejecución remota de código. La actualización previene que un atacante sobrescriba archivos críticos y ejecute scripts maliciosos en su entorno de Kubernetes.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-66626 is a Remote Code Execution vulnerability in Argo Workflows versions before 3.7.5, allowing attackers to execute arbitrary code through crafted zip files.
You are affected if you are using Argo Workflows versions prior to 3.7.5 and processing untrusted zip files.
Upgrade Argo Workflows to version 3.7.5 or later. Implement input validation and restrict file system access as temporary mitigations.
While no widespread exploitation has been confirmed, the vulnerability is publicly known and the underlying ZipSlip technique is well-understood, increasing the risk of exploitation.
Refer to the Argo Workflows security advisory on the Argo Projects website for detailed information and updates: [https://argoproj.github.io/workflows/security/](https://argoproj.github.io/workflows/security/)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.