Argo Workflows is an open source container-native workflow engine for orchestrating parallel jobs on Kubernetes. Prior to versions 3.7.14 and 4.0.5, the Webhook Interceptor loads the entire request body into memory before authenticating the request or verifying its signature. This occurs on the /api/v1/events/ endpoint, which is publicly accessible (albeit intended for webhooks). An attacker can send a request with an extremely large body (e.g., multiple gigabytes), causing the Argo Server to allocate excessive memory, potentially leading to an Out-Of-Memory (OOM) crash and denial of service. This issue has been patched in versions 3.7.14 and 4.0.5.
Argo Workflows webhook interceptor loads entire request bodies into memory before authentication, allowing unauthenticated attackers to send massive payloads causing out-of-memory crashes. This denial of service vulnerability affects the publicly accessible /api/v1/events/ endpoint in versions prior to 3.7.14 and 4.0.5.
يقوم معترض Argo Workflows للويب هوك بتحميل أجسام الطلبات بالكامل في الذاكرة قبل المصادقة أو التحقق من التوقيع. يمكن للمهاجمين إرسال طلبات بأحجام ضخمة جداً (عدة جيجابايت) عبر نقطة النهاية العامة /api/v1/events/ مما يسبب استنزاف الذاكرة. هذا يؤدي إلى انهيار خادم Argo بسبب نفاد الذاكرة وتعطل الخدمة.
Argo Workflows webhook interceptor loads entire request bodies into memory before authentication, allowing unauthenticated attackers to send massive payloads causing out-of-memory crashes. This denial of service vulnerability affects the publicly accessible /api/v1/events/ endpoint in versions prior to 3.7.14 and 4.0.5.
Upgrade Argo Workflows to version 3.7.14 or 4.0.5 or later immediately. Implement network-level access controls to restrict access to the /api/v1/events/ endpoint to trusted webhook sources only. Deploy rate limiting and request size limits on the webhook endpoint. Monitor memory usage and implement alerting for abnormal memory consumption patterns.
قم بترقية Argo Workflows إلى الإصدار 3.7.14 أو 4.0.5 أو أحدث فوراً. طبق عناصر تحكم في الوصول على مستوى الشبكة لتقييد الوصول إلى نقطة /api/v1/events/ للمصادر الموثوقة فقط. نشر تحديد معدل وحدود حجم الطلب على نقطة الويب هوك. راقب استخدام الذاكرة وطبق التنبيهات لأنماط استهلاك الذاكرة غير الطبيعية.