Plateforme
go
Composant
github.com/controlplaneio-fluxcd/flux-operator
Corrigé dans
0.36.1
0.40.0
La vulnérabilité CVE-2026-23990 est un contournement de l'impersonation dans Flux Operator, un outil d'automatisation de déploiement GitOps. Cette faille permet à un attaquant de contourner les mécanismes d'authentification et d'accéder potentiellement à des ressources sensibles. Elle affecte les versions de Flux Operator antérieures à 0.40.0. Une mise à jour vers la version 0.40.0 ou ultérieure est disponible pour corriger cette vulnérabilité.
L'impact de cette vulnérabilité est significatif car elle permet à un attaquant non authentifié ou mal intentionné de contourner l'authentification OIDC (OpenID Connect) et d'impersonner des utilisateurs autorisés au sein de l'environnement Flux Operator. En exploitant cette faille, un attaquant pourrait modifier des configurations de déploiement, déployer des applications malveillantes, ou compromettre l'intégrité des applications en production. Le risque est amplifié si l'environnement Flux Operator est utilisé pour gérer des applications critiques ou sensibles, car un accès non autorisé pourrait entraîner des violations de données ou des perturbations de service. Bien qu'il n'y ait pas de rapport d'exploitation publique direct, la nature du contournement d'authentification rend cette vulnérabilité particulièrement préoccupante.
La vulnérabilité CVE-2026-23990 a été divulguée publiquement le 2 février 2026. Il n'y a pas d'indication d'une exploitation active à ce jour, mais la simplicité du contournement d'authentification suggère un risque potentiel. Il n'est pas répertorié sur le KEV de CISA au moment de la rédaction. Des preuves de concept (PoC) pourraient être développées et publiées, augmentant ainsi le risque d'exploitation.
Organizations utilizing Flux Operator for GitOps deployments, particularly those relying on OIDC for authentication, are at risk. Shared Kubernetes clusters where multiple teams or applications share resources are especially vulnerable, as a compromised account could potentially impact a wider range of deployments. Legacy Flux Operator configurations with relaxed OIDC claim validation are also at increased risk.
• linux / server: Examine auditd logs for authentication attempts using OIDC tokens. Look for patterns indicating empty claims being accepted.
auditctl -l | grep -i oidc• go / platform: Monitor Flux Operator logs for errors related to OIDC claim validation.
// Example: Check for empty claims in your OIDC validation logic
if claims.Subject == "" || claims.Groups == nil { // Add more checks as needed
return nil, errors.New("Invalid OIDC claims")
}• generic web: If Flux Operator exposes a management API, test authentication with a crafted OIDC token containing empty claims to verify the impersonation bypass is prevented after patching.
disclosure
Statut de l'Exploit
EPSS
0.06% (percentile 19%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Flux Operator vers la version 0.40.0 ou ultérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution temporaire consiste à renforcer la configuration OIDC pour exiger des revendications (claims) plus strictes dans les jetons d'authentification. Cela peut inclure la validation de l'audience (aud) et du sujet (sub) des jetons. Surveillez attentivement les journaux d'audit de Flux Operator pour détecter toute activité suspecte, notamment les tentatives d'authentification inhabituelles ou les modifications de configuration non autorisées. L'implémentation de politiques de moindre privilège pour les comptes d'utilisateur peut également limiter l'impact potentiel d'une exploitation réussie.
Mettez à jour Flux Operator à la version 0.40.0 ou supérieure. Si la mise à jour immédiate n'est pas possible, configurez votre fournisseur OIDC pour qu'il émette des tokens avec les claims `email` et `groups` non vides. Alternativement, examinez et ajustez les expressions CEL personnalisées pour vous assurer que les valeurs résultantes de `username` et `groups` ne sont pas vides.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-23990 is a vulnerability in Flux Operator versions before 0.40.0 that allows attackers to bypass impersonation checks via empty OIDC claims, potentially gaining unauthorized access to Kubernetes resources.
You are affected if you are running Flux Operator versions prior to 0.40.0 and using OIDC for authentication. Assess your environment immediately.
Upgrade Flux Operator to version 0.40.0 or later. If immediate upgrade is not possible, implement stricter OIDC claim validation.
While no active exploitation has been confirmed, the vulnerability's nature suggests a low barrier to exploitation, and organizations should prioritize patching.
Refer to the official Flux Operator documentation and release notes for details on CVE-2026-23990 and the corresponding fix: [https://fluxcd.io/](https://fluxcd.io/)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.