Plataforma
kubernetes
Componente
fluxcd/notification-controller
Corregido en
1.8.4
La vulnerabilidad CVE-2026-40109 afecta a Flux Notification Controller, un componente del GitOps Toolkit. Antes de la versión 1.8.3, el receptor de tipo gcr no valida el claim de correo electrónico de los tokens OIDC de Google utilizados para la autenticación push de Pub/Sub. Esto permite que cualquier token Google válido se autentique contra el punto final del webhook del receptor, desencadenando reconciliaciones no autorizadas de Flux. La explotación requiere que el atacante conozca la URL del webhook del receptor.
Un atacante que explote esta vulnerabilidad podría desencadenar reconciliaciones no autorizadas de Flux, lo que podría resultar en modificaciones no deseadas en la infraestructura gestionada por GitOps. El atacante necesita conocer la URL del webhook del receptor, que se genera a partir de un hash del token, el nombre y el namespace. Aunque la severidad es baja, la posibilidad de modificar la configuración de la infraestructura representa un riesgo significativo, especialmente en entornos donde Flux se utiliza para gestionar componentes críticos. La falta de validación del claim de correo electrónico permite la suplantación de identidad, lo que podría llevar a la ejecución de comandos no autorizados o la modificación de la configuración del clúster.
Esta vulnerabilidad fue publicada el 2026-04-09. No se ha añadido a KEV al momento de la publicación. La probabilidad de explotación es baja, ya que requiere conocimiento de la URL del webhook y un token Google OIDC válido. No se han reportado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad la hace susceptible a explotación si se dispone de la información necesaria.
Organizations utilizing Flux Notification Controller for GitOps workflows, particularly those relying on Google Cloud Platform (GCP) for authentication, are at risk. Environments with publicly accessible Receiver webhook endpoints or those lacking robust network segmentation are especially vulnerable.
• kubernetes / server:
kubectl get pods -n flux-system -l app.kubernetes.io/name=notification-controller -o jsonpath='{.items[*].metadata.labels.version}'• kubernetes / server:
kubectl logs -n flux-system -l app.kubernetes.io/name=notification-controller -c manager | grep -i "oidc token validation"• generic web: Inspect Flux Notification Controller Receiver webhook endpoints for unusual activity or unexpected reconciliation triggers. Examine Kubernetes audit logs for suspicious API calls related to Flux resources.
disclosure
Estado del Exploit
EPSS
0.01% (2% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar Flux Notification Controller a la versión 1.8.3 o superior, que corrige esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso al webhook del receptor. Implementar reglas de firewall o políticas de red para limitar el acceso al webhook solo a fuentes confiables puede reducir el riesgo de explotación. Además, se debe revisar la configuración de los receptores gcr para asegurar que se utilizan métodos de autenticación más seguros, como la validación del claim de correo electrónico. Después de la actualización, confirme la corrección revisando los logs del controlador de notificaciones en busca de intentos de autenticación no autorizados.
Actualice el componente Flux Notification Controller a la versión 1.8.3 o superior para mitigar la vulnerabilidad. Esta actualización corrige la falta de validación de correo electrónico en el receptor GCR, previniendo la activación no autorizada de reconciliaciones.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-40109 is a vulnerability in Flux Notification Controller versions 1.0.0 through 1.8.3 where Google OIDC tokens are not properly validated, allowing unauthorized reconciliations.
You are affected if you are running Flux Notification Controller versions 1.0.0 through 1.8.3 and utilize Google OIDC tokens for Pub/Sub push authentication.
Upgrade Flux Notification Controller to version 1.8.3 or later to address the OIDC token validation issue. Consider temporary network restrictions as an interim measure.
There is currently no evidence of active exploitation of CVE-2026-40109, but the vulnerability's nature suggests a potential for exploitation.
Refer to the official Flux documentation and security advisories at [https://fluxcd.io/security/](https://fluxcd.io/security/)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.