CVE-2026-23960
ŚrednieCVSS 5.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 26 - wyżej niż 26% wszystkich znanych CVE
Streszczenie
Podatność XSS w Argo Workflows umożliwia wykonanie dowolnego kodu JavaScript w przeglądarce innego użytkownika poprzez listowanie katalogów artefaktów. Problem występuje przed wersjami 3.6.17 i 3.7.8.
Ocena ryzyka
Atakujący może przejąć sesję ofiary i wykonywać operacje API z jej uprawnieniami, co prowadzi do nieautoryzowanego dostępu do danych i zasobów.
Rekomendacja
Należy niezwłocznie zaktualizować Argo Workflows do wersji 3.6.17 lub 3.7.8, które zawierają poprawkę eliminującą podatność.
Oryginalny opis (angielski, źródło NVD)
Argo Workflows is an open source container-native workflow engine for orchestrating parallel jobs on Kubernetes. Prior to versions 3.6.17 and 3.7.8, stored XSS in the artifact directory listing allows any workflow author to execute arbitrary JavaScript in another user’s browser under the Argo Server origin, enabling API actions with the victim’s privileges. Versions 3.6.17 and 3.7.8 fix the issue.

