Flux Operator वेब UI में खाली OIDC दावों के माध्यम से प्रतिरूपण बाईपास (Impersonation Bypass via Empty OIDC Claims) github.com/controlplaneio-fluxcd/flux-operator में

इस भेद्यता का शोषण करने वाला एक हमलावर व्यवस्थापक के रूप में कार्य कर सकता है, जिससे उन्हें क्लस्टर संसाधनों तक पूर्ण पहुंच प्राप्त हो सकती है। वे कॉन्फ़िगरेशन बदल सकते हैं, संवेदनशील डेटा तक पहुंच सकते हैं, और अन्य दुर्भावनापूर्ण गतिविधियाँ कर सकते हैं। चूंकि Flux Operator का उपयोग अक्सर Kubernetes क्लस्टर में एप्लिकेशन परिनियोजन को स्वचालित करने के लिए किया जाता है, इसलिए इस भेद्यता का शोषण करने से व्यापक प्रभाव पड़ सकता है। यह भेद्यता विशेष रूप से उन वातावरणों में चिंताजनक है जहां Flux Operator का उपयोग महत्वपूर्ण बुनियादी ढांचे को प्रबंधित करने के लिए किया जाता है।

Organizations utilizing Flux Operator for GitOps deployments, particularly those relying on OIDC for authentication, are at risk. Shared Kubernetes clusters where multiple teams or applications share resources are especially vulnerable, as a compromised account could potentially impact a wider range of deployments. Legacy Flux Operator configurations with relaxed OIDC claim validation are also at increased risk.

• linux / server: Examine auditd logs for authentication attempts using OIDC tokens. Look for patterns indicating empty claims being accepted.

auditctl -l | grep -i oidc

• go / platform: Monitor Flux Operator logs for errors related to OIDC claim validation.

// Example: Check for empty claims in your OIDC validation logic
if claims.Subject == "" || claims.Groups == nil { // Add more checks as needed
  return nil, errors.New("Invalid OIDC claims")
}

• generic web: If Flux Operator exposes a management API, test authentication with a crafted OIDC token containing empty claims to verify the impersonation bypass is prevented after patching.

1. 2026-02-02Disclosure

   disclosure

1. आरक्षित2026-01-19
2. प्रकाशित2026-02-02
3. संशोधित2026-02-04
4. EPSS अद्यतन2026-03-23

इस भेद्यता को कम करने के लिए, Flux Operator को संस्करण 0.40.0 या बाद के संस्करण में तुरंत अपग्रेड करने की अनुशंसा की जाती है। यदि अपग्रेड संभव नहीं है, तो OIDC दावों को मान्य करने के लिए अतिरिक्त सुरक्षा उपाय लागू किए जा सकते हैं। इसमें यह सुनिश्चित करना शामिल है कि सभी आवश्यक OIDC दावे मौजूद हैं और अपेक्षित प्रारूप में हैं। वेब एप्लिकेशन फ़ायरवॉल (WAF) नियमों को भी लागू किया जा सकता है ताकि संदिग्ध अनुरोधों को अवरुद्ध किया जा सके। Flux Operator के कॉन्फ़िगरेशन की नियमित रूप से समीक्षा करना और किसी भी असामान्य गतिविधि की निगरानी करना भी महत्वपूर्ण है।