RATATOSKRATATOSK
로그인

Argo

v3.4.3CI/CD & App Delivery
2026년 5월 28일

Argo CD 3.4.3은 UI XSS CVE(CVE-2026-41240, dompurify), 컨트롤러 기동 race condition, 웹훅 nil pointer 크래시, CLI/UI 버그 등을 수정한 패치 릴리스입니다.

  • securityUI XSS 취약점 CVE-2026-41240 패치 적용 필요

    UI에서 사용하는 dompurify를 v3.4.0으로 올려 CVE-2026-41240을 수정했습니다. 웹 UI를 외부에 노출하거나 불특정 사용자가 접근하는 환경이라면 3.4.3으로 빠르게 업그레이드하세요. 인터넷에 직접 노출된 경우 다음 정기 배포를 기다리지 말고 즉시 적용하는 편이 좋습니다.

  • enhancement컨트롤러 기동 race condition 및 웹훅 nil pointer 크래시 수정

    애플리케이션 컨트롤러 기동 시 InvalidSpecError가 잘못 발생하는 race condition과, removeWebhookMutation()에서 nil pointer dereference로 인한 크래시가 모두 수정됐습니다. 컨트롤러 재시작 후 근거 없는 스펙 오류나 웹훅 관련 패닉이 간헐적으로 발생했다면 이번 패치가 원인일 가능성이 높습니다.

  • enhancement'app wait', 이미 동기화된 앱에 대해 즉시 반환

    'app wait' 명령이 앱이 이미 원하는 상태일 때 즉시 종료하도록 바뀌었습니다. CI/CD 파이프라인에서 sync 완료 대기 용도로 'app wait'를 쓴다면, 이미 정상 상태인 경우 불필요하게 대기하던 문제가 사라집니다. 코드 변경 없이 업그레이드만으로 파이프라인 속도가 빨라집니다.

주요 변경 (6)

  • CVE-2026-41240 수정: UI의 dompurify를 v3.4.0으로 업그레이드
  • 애플리케이션 컨트롤러 기동 시 InvalidSpecError를 유발하는 race condition 수정
  • gitops-engine의 removeWebhookMutation()에서 nil pointer dereference 수정
  • CLI: 앱이 이미 desired state이면 'app wait'가 즉시 종료
  • UI: non-hydrator 앱의 Parameters 탭에서 전체 소스를 반환하도록 수정
  • gitSourceHasChanges 및 fetch 함수에서 repo depth 설정이 제대로 반영됨