製品・ソフトウェアに関する情報

JVN脆弱性詳細

aivenのAiven Operatorにおける複数の脆弱性

Title	aivenのAiven Operatorにおける複数の脆弱性
Summary	Aiven Operatorは、KubernetesクラスターからAivenサービスのプロビジョニングと管理を可能にします。バージョン0.31.0から0.37.0未満の間、独自の名前空間でClickhouseUser CRDに対する作成権限を持つ開発者は、単一のkubectl applyコマンドで他の任意の名前空間から秘密情報（本番データベースの認証情報、APIキー、サービストークンなど）を持ち出すことが可能でした。オペレーターはClusterRoleを使用して被害者のシークレットを読み取り、そのパスワードを攻撃者の名前空間内の新しいシークレットに書き込みます。オペレーターは困惑した代理者として機能しており、そのServiceAccountはクラスタ全体のシークレットの読み書き権限（aiven-operator-role ClusterRole）を持っています。また、spec.connInfoSecretSource.namespaceにユーザーが提供した名前空間値を検証なしに信頼しています。この境界を強制するアドミッションWebhookは存在せず、ServiceUser Webhookはnilを返し、ClickhouseUser Webhookも存在していません。この脆弱性は0.37.0で修正されました。
Possible impacts	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う情報について、書き換えは発生しません。さらに、当該ソフトウェアは停止しません。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	April 9, 2026, midnight
Registration Date	May 15, 2026, 10:54 a.m.
Last Update	May 15, 2026, 10:54 a.m.

CVSS3.0 : 警告
Score	4.9
Vector	CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N

Affected System

aiven

Aiven Operator 0.31.0 以上 0.37.0 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-39961	https://www.cve.org/CVERecord?id=CVE-2026-39961
National Vulnerability Database (NVD)
2	CVE-2026-39961	https://nvd.nist.gov/vuln/detail/CVE-2026-39961

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-269	https://cwe.mitre.org/data/definitions/269.html
2	CWE-441	https://cwe.mitre.org/data/definitions/441.html

ベンダー情報

No	Name	URL
GitHub
1	Cross-namespace secret exfiltration via ClickhouseUser connInfoSecretSource Advisory aiven/aiven-operator GitHub	https://github.com/aiven/aiven-operator/security/advisories/GHSA-99j8-wv67-4c72

その他

No	Name	URL
関連文書
1	Merge commit from fork aiven/aiven-operator@032c9ba GitHub	https://github.com/aiven/aiven-operator/commit/032c9ba63257fdd2fddfb7f73f71830e371ff182
2	Release v0.37.0 aiven/aiven-operator GitHub	https://github.com/aiven/aiven-operator/releases/tag/v0.37.0

Change Log

No	Changed Details	Date of change
1	[2026年05月15日] 掲載	May 15, 2026, 10:54 a.m.

NVD Vulnerability Information

CVE-2026-39961

Summary	Aiven Operator allows you to provision and manage Aiven Services from your Kubernetes cluster. From 0.31.0 to before 0.37.0, a developer with create permission on ClickhouseUser CRDs in their own namespace can exfiltrate secrets from any other namespace — production database credentials, API keys, service tokens — with a single kubectl apply. The operator reads the victim's secret using its ClusterRole and writes the password into a new secret in the attacker's namespace. The operator acts as a confused deputy: its ServiceAccount has cluster-wide secret read/write (aiven-operator-role ClusterRole), and it trusts user-supplied namespace values in spec.connInfoSecretSource.namespace without validation. No admission webhook enforces this boundary — the ServiceUser webhook returns nil, and no ClickhouseUser webhook exists. This vulnerability is fixed in 0.37.0.
Publication Date	April 10, 2026, 3:17 a.m.
Registration Date	April 15, 2026, 11:34 a.m.
Last Update	April 14, 2026, 12:02 a.m.

Related information, measures and tools

No	URL	refsource
1	https://github.com/aiven/aiven-operator/commit/032c9ba63257fdd2fddfb7f73f71830e371ff182	security-advisories@github.com
2	https://github.com/aiven/aiven-operator/releases/tag/v0.37.0	security-advisories@github.com
3	https://github.com/aiven/aiven-operator/security/advisories/GHSA-99j8-wv67-4c72	security-advisories@github.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-269	不適切な権限管理	https://cwe.mitre.org/data/definitions/269.html
2	CWE-441	フィルタリング回避	https://cwe.mitre.org/data/definitions/441.html