Plateforme
go
Composant
github.com/cilium/cilium
Corrigé dans
1.17.15
1.18.1
1.19.1
1.17.14
1.17.14
1.17.14
CVE-2026-33726 décrit une vulnérabilité dans Cilium où le proxy L7 peut contourner les Kubernetes NetworkPolicy pour le trafic intra-nœud. Cela pourrait permettre à des pods de communiquer entre eux de manière non autorisée, compromettant ainsi la sécurité du réseau. La vulnérabilité affecte github.com/cilium/cilium. Elle est corrigée dans la version 1.17.14.
La vulnérabilité CVE-2026-33726 dans Cilium affecte le proxy L7, permettant potentiellement au trafic au sein du même nœud Kubernetes de contourner les Politiques Réseau définies. Cela signifie qu'un pod pourrait communiquer avec un autre pod sur le même nœud sans l'autorisation d'une Politique Réseau, compromettant l'isolation réseau attendue. Le score CVSS est de 5,4, indiquant un risque moyen. La vulnérabilité réside dans la façon dont Cilium gère le routage du trafic L7 dans les scénarios de même nœud. Si un attaquant peut exploiter cette faille, il pourrait accéder à des ressources sensibles ou perturber les services au sein du cluster, en particulier si les Politiques Réseau sont utilisées pour protéger les données confidentielles ou restreindre l'accès aux applications critiques. La gravité de l'impact dépend de la configuration spécifique du cluster et de la sensibilité des données impliquées.
L'exploitation de CVE-2026-33726 nécessite un accès au cluster Kubernetes et une compréhension du fonctionnement du proxy L7 de Cilium. Un attaquant pourrait tenter d'envoyer du trafic malveillant entre des pods sur le même nœud pour déterminer si les Politiques Réseau sont appliquées correctement. La vulnérabilité se manifeste lorsque le proxy L7 n'applique pas correctement les règles de Politique Réseau pour le trafic provenant et destiné au même nœud. La complexité de l'exploitation dépend de la configuration du cluster et de la capacité de l'attaquant à manipuler le trafic. Bien qu'aucun cas d'exploitation sur le terrain n'ait été signalé, la vulnérabilité représente un risque important pour les clusters Kubernetes utilisant Cilium et s'appuyant sur les Politiques Réseau pour l'isolation réseau.
Statut de l'Exploit
EPSS
0.01% (percentile 1%)
CISA SSVC
Vecteur CVSS
L'atténuation principale pour CVE-2026-33726 consiste à mettre à niveau Cilium vers la version 1.17.14 ou supérieure. Cette version contient une correction qui résout la vulnérabilité dans le proxy L7. Pendant la mise à niveau, il est recommandé de revoir et de renforcer les Politiques Réseau existantes afin de minimiser l'impact potentiel. Envisagez d'utiliser des Politiques Réseau plus restrictives, en particulier pour les pods traitant des données sensibles. La surveillance des journaux Cilium à la recherche d'un comportement anormal peut aider à détecter les tentatives d'exploitation potentielles. De plus, il est essentiel d'appliquer le principe du moindre privilège, en veillant à ce que les pods n'aient accès qu'aux ressources dont ils ont besoin. La mise à niveau doit être effectuée dans un environnement de test avant d'être déployée en production afin d'éviter les interruptions de service.
Actualice Cilium a la versión 1.17.14, 1.18.8 o 1.19.2, o a una versión posterior que contenga la corrección para esta vulnerabilidad. Esto asegura que las políticas de red de Kubernetes se apliquen correctamente al tráfico L7.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Cilium est une couche réseau haute performance pour Kubernetes qui fournit une connectivité réseau, une sécurité et une observabilité.
NetworkPolicy définit comment les pods peuvent communiquer entre eux, offrant un contrôle granulaire sur le trafic réseau au sein d'un cluster Kubernetes.
Vérifiez la version de Cilium installée. Si elle est antérieure à 1.17.14, elle est vulnérable. Vérifiez également vos Politiques Réseau pour vous assurer que l'isolation réseau est conforme à ce qui est attendu.
Pendant que vous ne pouvez pas mettre à niveau, examinez et renforcez vos Politiques Réseau pour atténuer le risque. Surveillez les journaux Cilium.
Des outils d'analyse des vulnérabilités peuvent aider à identifier les versions vulnérables de Cilium et à suggérer des étapes d'atténuation.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.