Scanner gratuitement
MEDIUMCVE-2026-23990CVSS 5.3

Contournement de l'usurpation d'identité dans l'interface Web de Flux Operator via des claims OIDC vides dans github.com/controlplaneio-fluxcd/flux-operator

Plateforme

go

Composant

github.com/controlplaneio-fluxcd/flux-operator

Corrigé dans

0.36.1

0.40.0

AI Confidence: highNVDEPSS 0.1%Révisé: mai 2026
Voir sur NVD
Sauvegarder

La vulnérabilité CVE-2026-23990 est un contournement de l'impersonation dans Flux Operator, un outil d'automatisation de déploiement GitOps. Cette faille permet à un attaquant de contourner les mécanismes d'authentification et d'accéder potentiellement à des ressources sensibles. Elle affecte les versions de Flux Operator antérieures à 0.40.0. Une mise à jour vers la version 0.40.0 ou ultérieure est disponible pour corriger cette vulnérabilité.

Go

Détecte cette CVE dans ton projet

Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.

Téléverser go.mod

Impact et Scénarios d'Attaque

L'impact de cette vulnérabilité est significatif car elle permet à un attaquant non authentifié ou mal intentionné de contourner l'authentification OIDC (OpenID Connect) et d'impersonner des utilisateurs autorisés au sein de l'environnement Flux Operator. En exploitant cette faille, un attaquant pourrait modifier des configurations de déploiement, déployer des applications malveillantes, ou compromettre l'intégrité des applications en production. Le risque est amplifié si l'environnement Flux Operator est utilisé pour gérer des applications critiques ou sensibles, car un accès non autorisé pourrait entraîner des violations de données ou des perturbations de service. Bien qu'il n'y ait pas de rapport d'exploitation publique direct, la nature du contournement d'authentification rend cette vulnérabilité particulièrement préoccupante.

Contexte d'Exploitation

La vulnérabilité CVE-2026-23990 a été divulguée publiquement le 2 février 2026. Il n'y a pas d'indication d'une exploitation active à ce jour, mais la simplicité du contournement d'authentification suggère un risque potentiel. Il n'est pas répertorié sur le KEV de CISA au moment de la rédaction. Des preuves de concept (PoC) pourraient être développées et publiées, augmentant ainsi le risque d'exploitation.

Qui Est à Risquetraduction en cours…

Organizations utilizing Flux Operator for GitOps deployments, particularly those relying on OIDC for authentication, are at risk. Shared Kubernetes clusters where multiple teams or applications share resources are especially vulnerable, as a compromised account could potentially impact a wider range of deployments. Legacy Flux Operator configurations with relaxed OIDC claim validation are also at increased risk.

Étapes de Détectiontraduction en cours…

• linux / server: Examine auditd logs for authentication attempts using OIDC tokens. Look for patterns indicating empty claims being accepted.

auditctl -l | grep -i oidc

• go / platform: Monitor Flux Operator logs for errors related to OIDC claim validation.

// Example: Check for empty claims in your OIDC validation logic
if claims.Subject == "" || claims.Groups == nil { // Add more checks as needed
  return nil, errors.New("Invalid OIDC claims")
}

• generic web: If Flux Operator exposes a management API, test authentication with a crafted OIDC token containing empty claims to verify the impersonation bypass is prevented after patching.

Chronologie de l'Attaque

  1. Disclosure

    disclosure

Renseignement sur les Menaces

Statut de l'Exploit

Preuve de ConceptInconnu
CISA KEVNO
Exposition InternetÉlevée

EPSS

0.06% (percentile 19%)

CISA SSVC

Exploitationnone
Automatisableno
Impact Techniquepartial

Vecteur CVSS

RENSEIGNEMENT SUR LES MENACES· CVSS 3.1CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N5.3MEDIUMAttack VectorNetworkComment l'attaquant atteint la cibleAttack ComplexityHighConditions requises pour exploiterPrivileges RequiredLowNiveau d'authentification requisUser InteractionNoneSi une action de la victime est requiseScopeUnchangedImpact au-delà du composant affectéConfidentialityHighRisque d'exposition de données sensiblesIntegrityNoneRisque de modification non autorisée de donnéesAvailabilityNoneRisque d'interruption de servicenextguardhq.com · Score de base CVSS v3.1
Que signifient ces métriques?
Attack Vector
Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
Attack Complexity
Élevée — nécessite une condition de course, configuration non standard ou circonstances spécifiques.
Privileges Required
Faible — tout compte utilisateur valide est suffisant.
User Interaction
Aucune — attaque automatique et silencieuse. La victime ne fait rien.
Scope
Inchangé — impact limité au composant vulnérable.
Confidentiality
Élevé — perte totale de confidentialité. L'attaquant peut lire toutes les données.
Integrity
Aucun — aucun impact sur l'intégrité.
Availability
Aucun — aucun impact sur la disponibilité.

Logiciel Affecté

Composantgithub.com/controlplaneio-fluxcd/flux-operator
Fournisseurosv
Plage affectéeCorrigé dans
>= 0.36.0, < 0.40.0 – >= 0.36.0, < 0.40.00.36.1
0.36.00.40.0

Classification de Faiblesse (CWE)

CWE-269CWE-862

Chronologie

  1. Réservé
  2. Publiée
  3. Modifiée
  4. EPSS mis à jour

Mitigation et Contournements

La mitigation principale consiste à mettre à jour Flux Operator vers la version 0.40.0 ou ultérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution temporaire consiste à renforcer la configuration OIDC pour exiger des revendications (claims) plus strictes dans les jetons d'authentification. Cela peut inclure la validation de l'audience (aud) et du sujet (sub) des jetons. Surveillez attentivement les journaux d'audit de Flux Operator pour détecter toute activité suspecte, notamment les tentatives d'authentification inhabituelles ou les modifications de configuration non autorisées. L'implémentation de politiques de moindre privilège pour les comptes d'utilisateur peut également limiter l'impact potentiel d'une exploitation réussie.

Comment corriger

Mettez à jour Flux Operator à la version 0.40.0 ou supérieure. Si la mise à jour immédiate n'est pas possible, configurez votre fournisseur OIDC pour qu'il émette des tokens avec les claims `email` et `groups` non vides. Alternativement, examinez et ajustez les expressions CEL personnalisées pour vous assurer que les valeurs résultantes de `username` et `groups` ne sont pas vides.

Newsletter Sécurité CVE

Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.

Questions fréquentestraduction en cours…

What is CVE-2026-23990 — Impersonation Bypass in Flux Operator?

CVE-2026-23990 is a vulnerability in Flux Operator versions before 0.40.0 that allows attackers to bypass impersonation checks via empty OIDC claims, potentially gaining unauthorized access to Kubernetes resources.

Am I affected by CVE-2026-23990 in Flux Operator?

You are affected if you are running Flux Operator versions prior to 0.40.0 and using OIDC for authentication. Assess your environment immediately.

How do I fix CVE-2026-23990 in Flux Operator?

Upgrade Flux Operator to version 0.40.0 or later. If immediate upgrade is not possible, implement stricter OIDC claim validation.

Is CVE-2026-23990 being actively exploited?

While no active exploitation has been confirmed, the vulnerability's nature suggests a low barrier to exploitation, and organizations should prioritize patching.

Where can I find the official Flux Operator advisory for CVE-2026-23990?

Refer to the official Flux Operator documentation and release notes for details on CVE-2026-23990 and the corresponding fix: [https://fluxcd.io/](https://fluxcd.io/)

Ton projet est-il affecté ?

Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.

Scanner gratuitementRechercher des CVE