漏洞概述
Argo Workflows 是一个用于在 Kubernetes 上编排并行任务的开源容器原生工作流引擎。在版本 3.6.17 和 3.7.8 之前,其制品(artifact)目录列表功能存在存储型跨站脚本(XSS)漏洞,允许任意工作流作者在其他用户浏览器中执行任意 JavaScript 代码,并以 Argo Server 的源上下文运行,从而利用受害者的权限执行 API 操作。该漏洞已在 Argo Workflows 3.6.17 和 3.7.8 版本中修复。
漏洞详情
- CVE 编号:CVE-2026-23960
- 漏洞类型:存储型跨站脚本(Stored XSS,CWE-79)
- CVSS 评分:7.3(HIGH)
- 影响版本:Argo Workflows < 3.6.17 及 < 3.7.8
影响范围
所有使用 Argo Workflows 且版本低于 3.6.17(含 3.6.x 系列)或低于 3.7.8(含 3.7.x 系列)的系统均受此漏洞影响。攻击者需具备创建工作流的权限,即可通过上传恶意命名的制品文件触发 XSS。
风险分析
该漏洞属于高危存储型 XSS,攻击者可利用此漏洞在受害者访问包含恶意制品的目录页面时,自动执行任意 JavaScript 代码。由于脚本在 Argo Server 域下执行,可直接调用 Argo API,导致权限提升、敏感信息泄露、工作流篡改甚至集群控制等严重后果。
修复建议
- 立即升级 Argo Workflows 至安全版本 3.6.17 或 3.7.8 及以上。
- 如无法立即升级,建议限制非可信用户创建工作流的权限,或禁用制品目录浏览功能作为临时缓解措施。
