关键信息 CVE ID: CVE-2026-23990 受影响版本: 已修复版本: 严重性: 中等 (CVSS V3.1 base score: 5.3) 描述 存在一个权限提升漏洞,允许攻击者通过空的OIDC声明绕过Kubernetes RBAC模拟,并以操作员的服务帐户权限执行API请求。 影响 权限提升: 任何经过身份验证的用户可以提升到操作员级别的读取权限并执行暂停/恢复/同步操作。 数据暴露: 绕过RBAC限制,未经授权访问所有命名空间中的Flux资源。 信息泄露: 查看整个集群的敏感GitOps流水线配置、源URL和部署状态。 攻击场景 前提条件: 集群管理员必须配置Flux操作员与一个不包括 和 声明的OIDC提供者,或者配置自定义的CEL表达式可以评估为空值。 攻击步骤: 1. 配置不包括 和 声明的提供者。 2. 用户使用有效令牌进行身份验证。 3. 默认CEL表达式评估为空值。 4. 身份验证成功(令牌签名有效)。 5. 创建具有空模拟配置的userClient。 6. 所有后续API请求以flux操作员服务帐户的凭据执行,绕过模拟。 7. 用户获得所有命名空间的操作员级别的读取访问权限。 修复 该漏洞已在Flux Operator v0.40.0中修复。 解决方案 确保在web配置的 部分中需要 和 声明。 引用 漏洞修复的Pull Request: #610 致谢 此漏洞是在与终端用户的调试会议期间由Flux操作员维护者发现的。