漏洞概述 该漏洞涉及 Argo Workflows 项目中的配置同步端点(configmap sync endpoints)。这些端点仅依赖 Kubernetes 客户端的身份进行 RBAC 检查,这在客户端自动模式下是有效的。然而,在服务器端(无 RBAC)节点上,使用的是服务器自身的特权 Kubernetes 客户端,完全绕过了授权检查。修复方案是在每次操作前显式添加 检查,以匹配数据库同步提供者的模式。 影响范围 受影响组件:Argo Workflows 的配置同步端点。 具体场景:在服务器端(无 RBAC)节点上,配置同步端点未进行适当的权限检查,导致潜在的安全风险。 修复方案 1. 添加权限检查:在每次操作前,显式添加 检查,确保权限验证。 2. 代码修改: - 在 文件中,为 、 、 和 方法添加权限检查。 - 新增 函数,用于执行权限检查。 - 更新测试用例,确保权限检查逻辑正确实现。 POC 代码 以下是修复后的关键代码片段: 测试用例更新 以上代码和测试用例确保了配置同步端点在每次操作前都进行了适当的权限检查,从而修复了该安全漏洞。