Platform
go
Component
github.com/aiven/aiven-operator
Opgelost in
0.37.1
0.37.0
CVE-2026-39961 is een kwetsbaarheid in de Aiven Operator, een Kubernetes operator voor het beheren van Aiven-services. Een kwaadwillende ontwikkelaar met de juiste permissies kan geheimen uit andere namespaces exfiltreren, waardoor gevoelige informatie zoals database credentials en API keys wordt blootgesteld. Deze kwetsbaarheid treft versies van de Aiven Operator vóór 0.37.0. Een upgrade naar versie 0.37.0 of hoger is vereist om de kwetsbaarheid te verhelpen.
Deze kwetsbaarheid stelt een aanvaller in staat om geheimen te stelen die opgeslagen zijn in Kubernetes Secrets in andere namespaces. De aanvaller heeft alleen 'create' permissies nodig op ClickhouseUser CRDs in hun eigen namespace. De operator, die een 'confused deputy' patroon vertoont, leest de geheimen van het slachtoffer met behulp van zijn ClusterRole en schrijft het wachtwoord in een nieuwe secret in de namespace van de aanvaller. Dit kan leiden tot ongeautoriseerde toegang tot databases, API's en andere gevoelige resources. De impact is aanzienlijk, aangezien de aanvaller potentieel de controle kan overnemen van kritieke applicaties en data kan compromitteren.
Deze kwetsbaarheid is publiekelijk bekend sinds 2026-04-10. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de complexiteit van de exploitatie is relatief laag, wat het risico verhoogt. De kwetsbaarheid is niet opgenomen in de CISA KEV catalogus op het moment van schrijven. De CVSS score is MEDIUM (6.8), wat wijst op een aanzienlijk risico.
Organizations utilizing the Aiven Operator to manage Aiven services within Kubernetes clusters are at risk. This includes those with multiple namespaces containing sensitive secrets, as well as those who have granted overly permissive roles to developers or service accounts. Shared Kubernetes environments and those relying on default configurations are particularly vulnerable.
• linux / server:
jauditd -l | grep 'aiven-operator' | grep 'read secret'• kubernetes / audit:
Review Kubernetes audit logs for events where the aiven-operator ServiceAccount attempts to read secrets from namespaces it shouldn't have access to. Look for get operations on Secret resources with unusual namespace specifications.
• kubernetes / yaml:
Inspect ClickhouseUser CRD configurations for suspicious connInfoSecretSource.namespace values that might be attempting to target other namespaces.
disclosure
Exploit Status
EPSS
0.03% (9% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de Aiven Operator naar versie 0.37.0 of hoger. Dit corrigeert de kwetsbaarheid door de validatie van namespace-waarden in spec.connInfoSecretSource te verbeteren. Als een upgrade momenteel niet mogelijk is, kan een tijdelijke workaround bestaan uit het beperken van de permissies van de ServiceAccount die door de operator wordt gebruikt, zodat deze geen cluster-wide secret read/write toegang meer heeft. Controleer ook de Kubernetes RBAC configuratie om te zorgen dat ontwikkelaars niet onnodig 'create' permissies hebben op ClickhouseUser CRDs. Na de upgrade, bevestig de correcte werking door te controleren of de operator correct functioneert en dat er geen ongeautoriseerde secret access plaatsvindt.
Actualiseer Aiven Operator naar versie 0.37.0 of hoger om de cross-namespace secret exfiltratie kwetsbaarheid te mitigeren. Deze update corrigeert het gebrek aan validatie van de door de gebruiker verstrekte waarden in `spec.connInfoSecretSource`, waardoor wordt voorkomen dat de operator ongeautoriseerd secrets leest en schrijft.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-39961 is a medium severity vulnerability in the Aiven Operator allowing developers to steal secrets from other namespaces by exploiting a confused deputy scenario. It impacts versions 0.36.x.
If you are using Aiven Operator versions 0.36.x within a Kubernetes cluster and have developers with create permission on ClickhouseUser CRDs, you are potentially affected.
Upgrade the Aiven Operator to version 0.37.0 or later. As a temporary workaround, restrict the operator's ServiceAccount permissions to limit its access to secrets.
Currently, there are no confirmed reports of active exploitation, but the vulnerability's ease of exploitation warrants vigilance.
Refer to the official Aiven security advisory for detailed information and updates: [https://www.aiven.com/security/advisories](https://www.aiven.com/security/advisories)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.