Argo Vulnerable to Unauthenticated Memory Exhaustion (DoS) in Webhook Interceptor — CVE-2026-42294

GitHub · GitHub · CVE-2026-42294

ID
CVE-2026-42294

Date
2026-05-04

Mis à jour
2026-05-13

Activity
2026-05-13

Source
GitHub

Fournisseur
GitHub

Risque
high

CVSS
8.2

EPSS
0.00042

Résumé

**Severity:** Medium **Component:** Webhook Interceptor (`server/auth/webhook`) **Vulnerability Type:** Denial of Service (DoS) ## Description The Webhook Interceptor loads the entire request body into memory before authenticating the request or verifying its signature. This occurs on the `/api/v1/events/` endpoint, which is publicly accessible (albeit intended for webhooks). An attacker can send a request with an…

Produit

go: github.com/argoproj/argo-workflows/v3 | go: github.com/argoproj/argo-workflows/v4

Que faire

Mesures générales et prudentes (vérifiez les détails dans la source officielle) :

Priorisez immédiatement les correctifs ou les mesures d’atténuation (risque actif).
Identifiez les versions affectées dans votre inventaire et vérifiez si vous êtes concerné.
Appliquez les correctifs/mises à jour du fournisseur ou les atténuations recommandées.
Consultez l’avis officiel pour les versions affectées et les étapes de remédiation.