CVE-2026-40109

Name of the Vulnerable Software and Affected Versions Flux notification-controller versões anteriores a 1.8.3

Description Flux notification-controller é o encaminhador de eventos e despachante de notificações para os controladores GitOps Toolkit. O tipo Receiver gcr não valida a declaração de e-mail dos tokens Google OIDC usados para autenticação push do Pub/Sub. Isso permite que qualquer token emitido pelo Google autentique no endpoint webhook do Receiver, potencialmente acionando reconciliações Flux não autorizadas. A exploração requer conhecimento da URL do webhook do Receiver, que é gerada como /hook/sha256sum(token+name+namespace). O controlador aciona uma reconciliação para todos os recursos listados em .spec.resources do Receiver, mas o impacto prático é limitado, pois a reconciliação Flux é idempotente e duplica as solicitações.

Recommendations Atualize para a versão 1.8.3 ou posterior.