CVE-2026-28229 — 神龙十问 AI 深度分析摘要
CVSS 9.8 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:Argo Workflows 工作流模板端点存在**越权访问**缺陷。 🔥 **后果**:任何客户端均可**非法检索** WorkflowTemplates,导致**敏感数据泄露**(含嵌入式 Secret 清单)。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-863(不正确的授权)。 🐛 **缺陷点**:工作流模板端点**未正确实施访问控制**,允许未授权读取。
Q3影响谁?(版本/组件)
📦 **组件**:Argo Workflows (argoproj)。 📅 **受影响版本**: - **4.0.2 之前**的所有 4.x 版本 - **3.7.11 之前**的所有 3.x 版本
Q4黑客能干啥?(权限/数据)
🕵️ **黑客能力**: - **读取**:获取所有 WorkflowTemplates 内容。 - **窃取**:提取模板中嵌入的 **Secrets**(密钥、凭证等敏感信息)。 - **权限**:无需认证即可操作。
Q5利用门槛高吗?(认证/配置)
🚪 **利用门槛**:**极低**。 - **认证**:无需认证 (PR:N)。 - **复杂度**:低 (AC:L)。 - **交互**:无需用户交互 (UI:N)。 - **向量**:网络远程 (AV:N)。
Q6有现成Exp吗?(PoC/在野利用)
💣 **Exp/PoC**:当前数据中 **无现成 PoC** (pocs: [])。 🌍 **在野利用**:数据未提及在野利用情况,但鉴于 CVSS 高评分,需警惕。
Q7怎么自查?(特征/扫描)
🔎 **自查方法**: 1. 检查 Argo Workflows 版本是否 < 3.7.11 或 < 4.0.2。 2. 审计工作流模板端点是否暴露且无 RBAC 限制。 3. 扫描模板中是否硬编码了 **Secrets**。
Q8官方修了吗?(补丁/缓解)
🛡️ **官方修复**:已发布安全公告 (GHSA-56px-hm34-xqj5)。 ✅ **补丁**:升级至 **3.7.11** 或 **4.0.2** 及以上版本。
Q9没补丁咋办?(临时规避)
⚠️ **临时规避**: - 若无法升级,**严格限制**工作流模板端点的网络访问。 - 启用并配置 **RBAC**,确保仅授权用户可访问模板。 - 移除模板中的敏感 **Secrets**,改用外部密钥管理。
Q10急不急?(优先级建议)
🚨 **优先级**:**紧急**。 - **CVSS**:9.1 (Critical)。 - **建议**:立即升级版本或实施严格的访问控制缓解措施,防止密钥泄露。