Plataforma
go
Componente
github.com/controlplaneio-fluxcd/flux-operator
Corregido en
0.36.1
0.40.0
El CVE-2026-23990 describe una vulnerabilidad de bypass de autenticación en la interfaz de usuario (UI) del Flux Operator de Controlplane.io. Esta falla permite a un atacante impersonar a usuarios autenticados, potencialmente comprometiendo la gestión de la infraestructura. La vulnerabilidad afecta a versiones anteriores a 0.40.0 y se ha solucionado en esta versión.
Un atacante que explote esta vulnerabilidad puede eludir los controles de autenticación en el UI de Flux Operator. Esto significa que pueden acceder a la funcionalidad del operador con los privilegios del usuario impersonado, lo que podría incluir la modificación de configuraciones de despliegue, la manipulación de recursos de Kubernetes y el acceso a información sensible. El impacto potencial es significativo, ya que permite un control no autorizado sobre la infraestructura gestionada por Flux Operator. Aunque no se ha reportado explotación activa, la facilidad de explotación y el acceso que otorga hacen que esta vulnerabilidad sea una preocupación importante.
Este CVE fue publicado el 2 de febrero de 2026. Actualmente no se encuentra listado en el KEV de CISA, pero su CVSS de Medium indica una probabilidad de explotación moderada. No se han reportado públicamente pruebas de concepto (PoC) disponibles, pero la descripción de la vulnerabilidad sugiere que la explotación es relativamente sencilla. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar posibles campañas de explotación.
Organizations utilizing Flux Operator for GitOps deployments, particularly those relying on OIDC for authentication, are at risk. Shared Kubernetes clusters where multiple teams or applications share resources are especially vulnerable, as a compromised account could potentially impact a wider range of deployments. Legacy Flux Operator configurations with relaxed OIDC claim validation are also at increased risk.
• linux / server: Examine auditd logs for authentication attempts using OIDC tokens. Look for patterns indicating empty claims being accepted.
auditctl -l | grep -i oidc• go / platform: Monitor Flux Operator logs for errors related to OIDC claim validation.
// Example: Check for empty claims in your OIDC validation logic
if claims.Subject == "" || claims.Groups == nil { // Add more checks as needed
return nil, errors.New("Invalid OIDC claims")
}• generic web: If Flux Operator exposes a management API, test authentication with a crafted OIDC token containing empty claims to verify the impersonation bypass is prevented after patching.
disclosure
Estado del Exploit
EPSS
0.06% (19% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar a la versión 0.40.0 de Flux Operator, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda revisar y endurecer la configuración de OIDC (OpenID Connect). Específicamente, asegúrese de que el proveedor de identidad (IdP) esté configurado para devolver claims obligatorios y no vacíos. Implementar políticas de acceso basadas en roles (RBAC) en Kubernetes puede limitar el daño potencial en caso de que un atacante logre la impersonación. Monitorear los logs del Flux Operator en busca de intentos de autenticación inusuales también puede ayudar a detectar y responder a posibles ataques.
Actualice el Flux Operator a la versión 0.40.0 o superior. Si no es posible actualizar inmediatamente, configure su proveedor OIDC para que emita tokens con las claims `email` y `groups` no vacías. Alternativamente, revise y ajuste las expresiones CEL personalizadas para asegurar que los valores resultantes de `username` y `groups` no sean vacíos.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-23990 is a vulnerability in Flux Operator versions before 0.40.0 that allows attackers to bypass impersonation checks via empty OIDC claims, potentially gaining unauthorized access to Kubernetes resources.
You are affected if you are running Flux Operator versions prior to 0.40.0 and using OIDC for authentication. Assess your environment immediately.
Upgrade Flux Operator to version 0.40.0 or later. If immediate upgrade is not possible, implement stricter OIDC claim validation.
While no active exploitation has been confirmed, the vulnerability's nature suggests a low barrier to exploitation, and organizations should prioritize patching.
Refer to the official Flux Operator documentation and release notes for details on CVE-2026-23990 and the corresponding fix: [https://fluxcd.io/](https://fluxcd.io/)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.