github.com/controlplaneio-fluxcd/flux-operatorにおけるWeb UIなりすまし回避: 空のOIDCクレームを介して

この脆弱性は、攻撃者がOIDCプロバイダーから空のクレームを受け取るように操作することで、認証をバイパスし、Flux OperatorのWeb UIにアクセスできる可能性があります。これにより、攻撃者はKubernetesクラスタの設定を不正に変更したり、機密情報を盗み出したり、さらにはクラスタ全体を制御する可能性があります。特に、OIDC認証をFlux Operatorで使用している環境では、この脆弱性の影響を受けるリスクが高まります。認証システムの不備や設定ミスが、この脆弱性の悪用を容易にする可能性があります。

Organizations utilizing Flux Operator for GitOps deployments, particularly those relying on OIDC for authentication, are at risk. Shared Kubernetes clusters where multiple teams or applications share resources are especially vulnerable, as a compromised account could potentially impact a wider range of deployments. Legacy Flux Operator configurations with relaxed OIDC claim validation are also at increased risk.

• linux / server: Examine auditd logs for authentication attempts using OIDC tokens. Look for patterns indicating empty claims being accepted.

auditctl -l | grep -i oidc

• go / platform: Monitor Flux Operator logs for errors related to OIDC claim validation.

// Example: Check for empty claims in your OIDC validation logic
if claims.Subject == "" || claims.Groups == nil { // Add more checks as needed
  return nil, errors.New("Invalid OIDC claims")
}

• generic web: If Flux Operator exposes a management API, test authentication with a crafted OIDC token containing empty claims to verify the impersonation bypass is prevented after patching.

1. 2026-02-02Disclosure

   disclosure

1. 予約済み2026-01-19
2. 公開日2026-02-02
3. 更新日2026-02-04
4. EPSS 更新日2026-03-23

この脆弱性への対応策として、まずFlux Operatorをバージョン0.40.0以降にアップデートすることを推奨します。アップデートが困難な場合は、OIDCプロバイダーの設定を見直し、クレームが空の場合にエラーを返すように設定変更を検討してください。また、Web Application Firewall (WAF) を導入し、不正なアクセスを検知・遮断するルールを設定することも有効です。Flux Operatorのアクセスログを監視し、不審なアクティビティがないか定期的に確認することも重要です。アップデート後、Flux Operatorの認証設定を再確認し、意図しないアクセス権限が付与されていないことを確認してください。