概要
Argo WorkflowsはKubernetes上で並列ジョブをオーケストレーションするオープンソースのワークフローエンジンです。WorkflowTemplates(およびClusterWorkflowTemplates)のエンドポイントが認証を適切に検証せず、Authorization: Bearer nothing のような無効なトークンでもテンプレートの内容を取得できます。テンプレートに埋め込まれたSecret情報が漏洩する可能性があります。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 9.8 (Critical) |
| CWE | CWE-863(不適切な認可) |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な権限 | 不要 |
| ユーザー操作 | 不要 |
影響を受けるソフトウェア
- Argo Workflows 4.0.2未満
- Argo Workflows 3.7.11未満
修正バージョンと回避策
- 修正バージョン: 4.0.2 / 3.7.11
関連リンク
データソース: NVD (NIST), GitHub Advisory Database
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。