anchore_overrides,nvd
Argo_events_project
Уязвимости
3
Эксплуатируемые
0
Критический
1
Высокий
2
Топ продуктов
Топ уязвимостей
CVE-2025-32445Argo Events - это система автоматизации рабочих процессов, управляемая событиями, для Kubernetes. Пользователь с разрешением на создание/изменение пользовательских ресурсов EventSource и Sensor может получить привилегированный доступ к хост-системе и кластеру, даже не имея прямых административных привилегий. EventSource и Sensor CR позволяют настроить соответствующую оркестрованную капсулу с помощью spec.template и spec.template.container (с типом k8s.io/core/v1.Container), таким образом, любая спецификация под контейнером, такая как команда, арги, securityContext, объемная гора может быть указана и применена к EventSource или Sensor. С их помощью пользователь сможет получить привилегированный доступ к хостинту кластера, если он/она указал EventSource/Sensor CR с некоторыми конкретными свойствами в шаблоне. Эта уязвимость зафиксирована в v1.9.6.
CVE-2022-31054Argo Events — это платформа автоматизации рабочих процессов на основе событий для Kubernetes. В версиях до 1.7.1 несколько конечных точек `HandleRoute` используют устаревший `ioutil.ReadAll()`. `ioutil.ReadAll()` считывает все данные в память. Таким образом, злоумышленник, отправляющий большой запрос на сервер Argo Events, сможет обрушить его и вызвать отказ в обслуживании. Исправление для этой уязвимости было выпущено в версии Argo Events 1.7.1.
CVE-2022-25856Пакет github.com/argoproj/argo-events/sensors/artifacts до версии 1.7.1 уязвим для Directory Traversal в API (g *GitArtifactReader).Read() в git.go. Это может позволить произвольное чтение файлов, если GitArtifactReader предоставлено имя пути, содержащее символическую ссылку или неявное имя каталога, такое как ...