Argo has Missing Authorization in its Sync ConfigMap Provider — CVE-2026-42297
GitHub · GitHub · CVE-2026-42297
ID
CVE-2026-42297
CVE-2026-42297
Date
Mis à jour
Activity
Source
GitHub
GitHub
Fournisseur
GitHub
GitHub
Risque
high
high
CVSS
8.5
8.5
EPSS
0.00036
0.00036
Résumé
### Summary The Sync Service's ConfigMap-backed provider (`server/sync/sync_cm.go`) performs **zero authorization checks** on all CRUD operations (create, read, update, delete). Any authenticated user — including those using fake Bearer tokens — can create, read, update, and delete Kubernetes ConfigMaps containing synchronization limits. ### Details The ConfigMap-backed provider (`server/sync/sync_cm.go`) has no…
Produit
go: github.com/argoproj/argo-workflows/v4
Que faire
Mesures générales et prudentes (vérifiez les détails dans la source officielle) :
- Priorisez immédiatement les correctifs ou les mesures d’atténuation (risque actif).
- Identifiez les versions affectées dans votre inventaire et vérifiez si vous êtes concerné.
- Appliquez les correctifs/mises à jour du fournisseur ou les atténuations recommandées.
- Consultez l’avis officiel pour les versions affectées et les étapes de remédiation.