Plataforma
go
Componente
github.com/aiven/aiven-operator
Corregido en
0.37.1
0.37.0
La vulnerabilidad CVE-2026-39961 afecta al componente github.com/aiven/aiven-operator, permitiendo a un atacante con permisos de creación en ClickhouseUser CRDs exfiltrar secretos de otros namespaces. Esta vulnerabilidad, de tipo Confused Deputy, se aprovecha de la confianza del operador en los valores de namespace proporcionados por el usuario sin validación adecuada. La versión afectada es cualquier versión anterior a 0.37.0. Se recomienda actualizar a la versión 0.37.0 para mitigar el riesgo.
Esta vulnerabilidad representa un riesgo significativo para entornos que utilizan Aiven Operator, especialmente aquellos con múltiples namespaces y secretos sensibles. Un atacante con permisos de creación en ClickhouseUser CRDs puede, con un solo comando kubectl apply, obtener acceso a credenciales de bases de datos de producción, claves de API y tokens de servicio almacenados en secretos de otros namespaces. El operador, al actuar como un 'confused deputy', utiliza su ClusterRole (aiven-operator-role) para leer secretos en todo el clúster, pero confía ciegamente en la información proporcionada por el usuario en spec.connInfoSecretSource.namespace. Esto permite al atacante manipular el operador para que acceda a secretos que normalmente no debería poder ver, comprometiendo la seguridad de la infraestructura y los datos almacenados.
La vulnerabilidad fue publicada el 2026-04-10. No se ha reportado explotación activa en entornos de producción, pero la facilidad de explotación y el impacto potencial la convierten en un riesgo significativo. No se ha añadido a KEV (CISA Known Exploited Vulnerabilities) al momento de la publicación. La existencia de un POC público podría facilitar la explotación por parte de actores maliciosos. Se recomienda monitorear activamente los sistemas afectados.
Organizations utilizing the Aiven Operator to manage Aiven services within Kubernetes clusters are at risk. This includes those with multiple namespaces containing sensitive secrets, as well as those who have granted overly permissive roles to developers or service accounts. Shared Kubernetes environments and those relying on default configurations are particularly vulnerable.
• linux / server:
jauditd -l | grep 'aiven-operator' | grep 'read secret'• kubernetes / audit:
Review Kubernetes audit logs for events where the aiven-operator ServiceAccount attempts to read secrets from namespaces it shouldn't have access to. Look for get operations on Secret resources with unusual namespace specifications.
• kubernetes / yaml:
Inspect ClickhouseUser CRD configurations for suspicious connInfoSecretSource.namespace values that might be attempting to target other namespaces.
disclosure
Estado del Exploit
EPSS
0.03% (9% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-39961 es actualizar Aiven Operator a la versión 0.37.0 o superior, que corrige la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda restringir los permisos del ServiceAccount del operador (aiven-operator-role) para limitar su acceso a los secretos. Implementar políticas de RBAC más estrictas que restrinjan los permisos de creación de ClickhouseUser CRDs solo a usuarios y namespaces autorizados. Monitorear los logs del operador en busca de actividades sospechosas, como la creación de secretos en namespaces inesperados. Después de la actualización, confirmar la mitigación verificando que el operador valida correctamente los valores de namespace y no puede acceder a secretos de otros namespaces.
Actualice Aiven Operator a la versión 0.37.0 o superior para mitigar la vulnerabilidad de exfiltración de secretos entre espacios de nombres. Esta actualización corrige la falta de validación de los valores proporcionados por el usuario en `spec.connInfoSecretSource`, evitando que el operador lea y escriba secretos de forma no autorizada.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-39961 is a medium severity vulnerability in the Aiven Operator allowing developers to steal secrets from other namespaces by exploiting a confused deputy scenario. It impacts versions 0.36.x.
If you are using Aiven Operator versions 0.36.x within a Kubernetes cluster and have developers with create permission on ClickhouseUser CRDs, you are potentially affected.
Upgrade the Aiven Operator to version 0.37.0 or later. As a temporary workaround, restrict the operator's ServiceAccount permissions to limit its access to secrets.
Currently, there are no confirmed reports of active exploitation, but the vulnerability's ease of exploitation warrants vigilance.
Refer to the official Aiven security advisory for detailed information and updates: [https://www.aiven.com/security/advisories](https://www.aiven.com/security/advisories)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.