Lỗ hổng xuất phát từ cách Argo Events xử lý các tài nguyên tùy chỉnh (Custom Resources) EventSource và Sensor. Người dùng có quyền tạo hoặc chỉnh sửa các tài nguyên này có thể tận dụng thuộc tính spec.template.container để chỉ định các cấu hình container như command, args, securityContext và volumeMounts.

Do thiếu kiểm soát trong quá trình xử lý, các cấu hình này được áp dụng trực tiếp vào pod, cho phép người dùng không có đặc quyền quản trị thực thi mã độc quyền hoặc leo thang đặc quyền trong cụm Kubernetes.

Lỗ hổng này đặc biệt nguy hiểm trong các cluster Kubernetes đa tenant, có thể dẫn đến: Phá vỡ sự cách ly giữa các tenant; Người dùng không phải admin có thể truy cập vào host/cluster; Truy cập dữ liệu của các tenant khác; Vượt qua các mô hình bảo mật như RBAC và Pod Security Policies; Làm tổn hại đến hệ thống host.

Nhóm phát triển Argo đã phát hành bản vá trong phiên bản Argo Events v1.9.6, giới hạn các thuộc tính được phép trong spec.template.container. Người dùng được khuyến nghị cập nhật lên phiên bản này càng sớm càng tốt để giảm thiểu các rủi ro đáng tiếc.