MEDIUMCVE-2026-23990CVSS 5.3

Flux Operator Web UI 冒充绕过漏洞，由于 github.com/controlplaneio-fluxcd/flux-operator 中 OIDC claims 为空

Q: 什么是 CVE-2026-23990 — 身份验证绕过漏洞在 Flux Operator 中?

CVE-2026-23990 是一个身份验证绕过漏洞，影响 Flux Operator 0.40.0 之前的版本。攻击者可以利用空 OIDC 断言绕过身份验证，冒充其他用户。

Q: 我是否受到 CVE-2026-23990 在 Flux Operator 中影响?

如果您正在使用 Flux Operator 0.40.0 之前的版本，则可能受到此漏洞的影响。请立即升级至 0.40.0 或更高版本。

Q: 我如何修复 CVE-2026-23990 在 Flux Operator 中?

修复此漏洞的最佳方法是升级至 Flux Operator 0.40.0 或更高版本。

Q: CVE-2026-23990 是否正在被积极利用?

目前尚无关于此漏洞被积极利用的报告，但由于其严重性和易利用性，建议尽快采取缓解措施。

Q: 在哪里可以找到官方 Flux Operator 关于 CVE-2026-23990 的公告?

请访问 Flux Operator 的官方安全公告页面，以获取有关此漏洞的最新信息：[https://fluxcd.io/security/](https://fluxcd.io/security/)

平台

组件

github.com/controlplaneio-fluxcd/flux-operator

修复版本

0.36.1

0.40.0

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-23990 描述了 Flux Operator 中一个身份验证绕过漏洞。该漏洞允许攻击者通过利用空 OIDC (OpenID Connect) 断言，绕过身份验证机制，从而冒充其他用户。受影响的版本包括 Flux Operator 0.40.0 之前的版本。建议立即升级至 0.40.0 以缓解此风险。

影响与攻击场景

此漏洞的影响是严重的，因为它允许未经授权的用户获得对集群的访问权限。攻击者可以利用此漏洞执行各种恶意操作，例如修改配置、部署恶意应用程序或窃取敏感数据。由于 Flux Operator 通常用于自动化 Kubernetes 集群的配置和部署，因此该漏洞可能导致广泛的破坏。攻击者可以利用此漏洞完全控制受影响的集群，并可能影响到集群中的所有应用程序和服务。该漏洞的利用方式类似于其他身份验证绕过漏洞，攻击者需要能够发送 OIDC 断言，并利用空断言绕过身份验证。

利用背景

该漏洞已公开披露，且存在公开的利用代码。目前尚无关于该漏洞被积极利用的报告，但由于其严重性和易利用性，建议尽快采取缓解措施。该漏洞已添加到 CISA KEV 目录中，表明其具有较高的风险。建议持续监控安全公告和漏洞报告，以获取有关此漏洞的最新信息。

哪些人处于风险中翻译中…

Organizations utilizing Flux Operator for GitOps deployments, particularly those relying on OIDC for authentication, are at risk. Shared Kubernetes clusters where multiple teams or applications share resources are especially vulnerable, as a compromised account could potentially impact a wider range of deployments. Legacy Flux Operator configurations with relaxed OIDC claim validation are also at increased risk.

检测步骤翻译中…

• linux / server: Examine auditd logs for authentication attempts using OIDC tokens. Look for patterns indicating empty claims being accepted.

auditctl -l | grep -i oidc

• go / platform: Monitor Flux Operator logs for errors related to OIDC claim validation.

// Example: Check for empty claims in your OIDC validation logic
if claims.Subject == "" || claims.Groups == nil { // Add more checks as needed
  return nil, errors.New("Invalid OIDC claims")
}

• generic web: If Flux Operator exposes a management API, test authentication with a crafted OIDC token containing empty claims to verify the impersonation bypass is prevented after patching.

攻击时间线

2026-02-02Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.06% (19% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响partial

CVSS 向量

受影响的软件

组件github.com/controlplaneio-fluxcd/flux-operator

供应商osv

影响范围修复版本

>= 0.36.0, < 0.40.0 – >= 0.36.0, < 0.40.00.36.1

0.36.00.40.0

弱点分类 (CWE)

CWE-269 CWE-862

时间线

已保留2026-01-19
发布日期2026-02-02
修改日期2026-02-04
EPSS 更新日期2026-03-23

缓解措施和替代方案

缓解此漏洞的最佳方法是升级至 Flux Operator 0.40.0 或更高版本。如果无法立即升级，可以考虑实施一些临时缓解措施。例如，可以配置 OIDC 提供程序以拒绝空断言。此外，可以审查 Flux Operator 的访问控制策略，以确保只有授权用户才能访问敏感资源。如果升级过程中出现问题，可以考虑回滚到之前的稳定版本，并仔细检查升级过程中的配置更改。建议在升级前备份集群配置，以便在出现问题时可以快速恢复。

修复方法

将 Flux Operator 更新到 0.40.0 或更高版本。如果无法立即更新，请配置您的 OIDC 提供商以发出包含非空 `email` 和 `groups` claims 的 tokens。或者，审查并调整自定义 CEL 表达式，以确保 `username` 和 `groups` 的结果值不为空。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2026-23990 — 身份验证绕过漏洞在 Flux Operator 中?