Platform
go
Component
github.com/controlplaneio-fluxcd/flux-operator
Opgelost in
0.36.1
0.40.0
CVE-2026-23990 beschrijft een kwetsbaarheid in de Flux Operator, specifiek een impersonatie bypass in de web UI. Deze kwetsbaarheid ontstaat door het niet adequaat valideren van OIDC (OpenID Connect) claims, waardoor een aanvaller mogelijk ongeautoriseerde toegang kan verkrijgen. De kwetsbaarheid treft versies van Flux Operator vóór 0.40.0. Een update naar versie 0.40.0 of hoger is vereist om de kwetsbaarheid te verhelpen.
Een succesvolle exploitatie van CVE-2026-23990 kan aanzienlijke gevolgen hebben voor de beveiliging van Kubernetes clusters die Flux Operator gebruiken. Een aanvaller die deze kwetsbaarheid misbruikt, kan de web UI omzeilen en zich voordoen als een geauthenticeerde gebruiker. Dit stelt de aanvaller in staat om configuratiewijzigingen aan te brengen, applicaties te implementeren of te verwijderen, en potentieel toegang te krijgen tot gevoelige gegevens die door de applicaties worden verwerkt. De impact kan variëren afhankelijk van de privileges die de gecompromitteerde gebruiker heeft binnen het cluster. Het is vergelijkbaar met het verkrijgen van ongeautoriseerde beheerdersrechten binnen de Flux Operator omgeving, wat de integriteit en beschikbaarheid van de applicaties en infrastructuur in gevaar kan brengen.
CVE-2026-23990 werd publiekelijk bekendgemaakt op 2 februari 2026. Er is momenteel geen publieke proof-of-concept (POC) code beschikbaar. De KEV (Cybersecurity and Infrastructure Security Agency Known Exploited Vulnerabilities) status is nog niet bekend. De CVSS score van 5.3 duidt op een medium risico, wat suggereert dat exploitatie mogelijk is, maar niet per se wijdverspreid of eenvoudig.
Organizations utilizing Flux Operator for GitOps deployments, particularly those relying on OIDC for authentication, are at risk. Shared Kubernetes clusters where multiple teams or applications share resources are especially vulnerable, as a compromised account could potentially impact a wider range of deployments. Legacy Flux Operator configurations with relaxed OIDC claim validation are also at increased risk.
• linux / server: Examine auditd logs for authentication attempts using OIDC tokens. Look for patterns indicating empty claims being accepted.
auditctl -l | grep -i oidc• go / platform: Monitor Flux Operator logs for errors related to OIDC claim validation.
// Example: Check for empty claims in your OIDC validation logic
if claims.Subject == "" || claims.Groups == nil { // Add more checks as needed
return nil, errors.New("Invalid OIDC claims")
}• generic web: If Flux Operator exposes a management API, test authentication with a crafted OIDC token containing empty claims to verify the impersonation bypass is prevented after patching.
disclosure
Exploit Status
EPSS
0.06% (19% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-23990 is het upgraden van Flux Operator naar versie 0.40.0 of hoger, waar deze kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot de web UI via een Web Application Firewall (WAF) of proxy. Configureer de WAF om verdachte OIDC claims te blokkeren. Controleer de OIDC configuratie en zorg ervoor dat alle vereiste claims worden geverifieerd. Monitor de Flux Operator logs op ongebruikelijke activiteit die kan wijzen op een poging tot exploitatie. Na de upgrade, controleer de Flux Operator configuratie en de toegangsrechten om te bevestigen dat de kwetsbaarheid is verholpen en dat de beveiliging is verbeterd.
Werk de Flux Operator bij naar versie 0.40.0 of hoger. Indien een directe update niet mogelijk is, configureer dan uw OIDC provider om tokens uit te geven met niet-lege `email` en `groups` claims. Alternatief, bekijk en pas de aangepaste CEL expressies aan om te verzekeren dat de resulterende waarden van `username` en `groups` niet leeg zijn.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-23990 is a vulnerability in Flux Operator versions before 0.40.0 that allows attackers to bypass impersonation checks via empty OIDC claims, potentially gaining unauthorized access to Kubernetes resources.
You are affected if you are running Flux Operator versions prior to 0.40.0 and using OIDC for authentication. Assess your environment immediately.
Upgrade Flux Operator to version 0.40.0 or later. If immediate upgrade is not possible, implement stricter OIDC claim validation.
While no active exploitation has been confirmed, the vulnerability's nature suggests a low barrier to exploitation, and organizations should prioritize patching.
Refer to the official Flux Operator documentation and release notes for details on CVE-2026-23990 and the corresponding fix: [https://fluxcd.io/](https://fluxcd.io/)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.