CVE-2026-40564 in Flink Kubernetes Operatorinfo

Zusammenfassung

von VulDB • 26.05.2026

Datei- oder Verzeichniszugriff für externe Parteien, Server-Side Request Forgery (SSRF)-Schwachstelle im Apache Flink Kubernetes Operator.

Die jarURI von FlinkSessionJob wird derzeit nicht validiert, sodass sie auf Dateien oder Adressen verweist, die dem Benutzer gehören. Dies ermöglicht es einem Benutzer mit CR-Erstellberechtigungen, Dateien aus dem Dateisystem des Operator-Pods zu lesen und Inhalte aus jedem über die austauschbare Dateisystemschicht von Flink erreichbaren Backing Store abzurufen und über den eingereichten Flink-Job darauf zuzugreifen. Darüber hinaus gibt es beim Abrufen von http/https-Adressen derzeit keine Allowlist für das URI-Schema, keine Host-Überprüfung, keine IP-Bereichsbeschränkung und keinen Schutz davor, die URI auf interne oder Link-Local-Adressen zu zeigen. Dieses Problem betrifft Apache Flink Kubernetes Operator: von Version 1.3.0 bis vor 1.15.0.

Benutzern wird empfohlen, auf Version 1.15.0 zu aktualisieren, die das Problem behebt.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

Apache

Reservieren

14.04.2026

Veröffentlichung

26.05.2026

Moderieren

akzeptiert

Eintrag

VDB-365662

CPE

bereit

EPSS

0.00053

KEV

nein

Aktivitäten

very low

Sektor

Pharma, Industry, ...

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-40564
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-40564
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-40564/

ZurückÜbersichtWeiter

Interested in the pricing of exploits?

See the underground prices here!