Plateforme
kubernetes
Composant
fluxcd/notification-controller
Corrigé dans
1.8.4
La vulnérabilité CVE-2026-40109 affecte Flux Notification Controller, un composant de GitOps Toolkit. Avant la version 1.8.3, le type de Receiver gcr ne valide pas l'adresse e-mail revendiquée dans les tokens OIDC Google utilisés pour l'authentification Pub/Sub push. Cette faille permet à toute adresse Google valide d'authentifier une requête, déclenchant des réconciliations Flux non autorisées. La vulnérabilité est corrigée dans la version 1.8.3.
Un attaquant peut exploiter cette vulnérabilité en utilisant un token OIDC Google valide pour s'authentifier auprès du webhook du Receiver. L'attaquant doit connaître l'URL du webhook du Receiver, qui est générée à partir d'un hachage SHA256 du token, du nom et de l'espace de noms. Une fois authentifié, l'attaquant peut déclencher des réconciliations Flux non autorisées, potentiellement modifiant la configuration de l'application et compromettant l'intégrité du système. Bien que la vulnérabilité soit classée comme « LOW » en raison de la nécessité de connaître l'URL du webhook, elle représente un risque significatif dans les environnements où l'accès aux informations de configuration est facile.
Cette vulnérabilité a été rendue publique le 2026-04-09. Il n'y a pas d'indication d'exploitation active à ce jour. La probabilité d'exploitation est considérée comme faible en raison de la nécessité de connaître l'URL du webhook, mais la vulnérabilité est présente dans de nombreuses installations de Flux. Il n'est pas listé sur le KEV de CISA.
Organizations utilizing Flux Notification Controller for GitOps workflows, particularly those relying on Google Cloud Platform (GCP) for authentication, are at risk. Environments with publicly accessible Receiver webhook endpoints or those lacking robust network segmentation are especially vulnerable.
• kubernetes / server:
kubectl get pods -n flux-system -l app.kubernetes.io/name=notification-controller -o jsonpath='{.items[*].metadata.labels.version}'• kubernetes / server:
kubectl logs -n flux-system -l app.kubernetes.io/name=notification-controller -c manager | grep -i "oidc token validation"• generic web: Inspect Flux Notification Controller Receiver webhook endpoints for unusual activity or unexpected reconciliation triggers. Examine Kubernetes audit logs for suspicious API calls related to Flux resources.
disclosure
Statut de l'Exploit
EPSS
0.01% (percentile 2%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Flux Notification Controller vers la version 1.8.3 ou supérieure, qui corrige la vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution de contournement consiste à restreindre l'accès au webhook du Receiver via un pare-feu ou un proxy inverse, en limitant l'accès aux adresses IP autorisées. Il est également recommandé de surveiller les logs du Receiver pour détecter toute activité suspecte. Après la mise à jour, vérifiez la configuration du Receiver pour vous assurer que l'authentification OIDC est correctement configurée et que les adresses e-mail sont validées.
Mettez à jour le composant Flux Notification Controller à la version 1.8.3 ou supérieure pour atténuer la vulnérabilité. Cette mise à jour corrige le manque de validation d'e-mail dans le receiver GCR, empêchant ainsi l'activation non autorisée de réconciliations.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-40109 is a vulnerability in Flux Notification Controller versions 1.0.0 through 1.8.3 where Google OIDC tokens are not properly validated, allowing unauthorized reconciliations.
You are affected if you are running Flux Notification Controller versions 1.0.0 through 1.8.3 and utilize Google OIDC tokens for Pub/Sub push authentication.
Upgrade Flux Notification Controller to version 1.8.3 or later to address the OIDC token validation issue. Consider temporary network restrictions as an interim measure.
There is currently no evidence of active exploitation of CVE-2026-40109, but the vulnerability's nature suggests a potential for exploitation.
Refer to the official Flux documentation and security advisories at [https://fluxcd.io/security/](https://fluxcd.io/security/)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.