Platform
go
Component
github.com/cilium/cilium
Opgelost in
1.17.15
1.18.1
1.19.1
1.17.14
1.17.14
1.17.14
CVE-2026-33726 is een beveiligingslek in github.com/cilium/cilium, waarbij de L7 proxy Kubernetes NetworkPolicy kan omzeilen voor verkeer binnen hetzelfde node. Dit kan leiden tot ongeautoriseerde toegang tot services binnen de Kubernetes cluster. Het probleem treft versies van Cilium vóór 1.17.14. De kwetsbaarheid is verholpen in versie 1.17.14.
CVE-2026-33726 in Cilium beïnvloedt de L7 proxy, waardoor mogelijk verkeer binnen dezelfde Kubernetes-node gedefinieerde netwerkbeleid kan omzeilen. Dit betekent dat een pod met een andere pod op dezelfde node kan communiceren zonder autorisatie van een netwerkbeleid, waardoor de verwachte netwerkisolatie wordt aangetast. De CVSS-score is 5.4, wat een gemiddeld risico aangeeft. De kwetsbaarheid ligt in de manier waarop Cilium L7-verkeer doorstuurt in scenario's met dezelfde node. Als een aanvaller deze kwetsbaarheid kan misbruiken, kan hij toegang krijgen tot gevoelige resources of services binnen de cluster, vooral als netwerkbeleid wordt gebruikt om vertrouwelijk gegevens te beschermen of de toegang tot kritieke applicaties te beperken. De ernst van de impact hangt af van de specifieke clusterconfiguratie en de gevoeligheid van de betrokken gegevens.
Het misbruiken van CVE-2026-33726 vereist toegang tot de Kubernetes-cluster en een begrip van hoe de L7 proxy van Cilium werkt. Een aanvaller zou kunnen proberen kwaadaardig verkeer tussen pods op dezelfde node te sturen om te bepalen of netwerkbeleid correct wordt toegepast. De kwetsbaarheid manifesteert zich wanneer de L7 proxy de regels van het netwerkbeleid niet correct toepast op verkeer dat afkomstig is van en bestemd is voor dezelfde node. De complexiteit van het misbruiken hangt af van de clusterconfiguratie en het vermogen van de aanvaller om verkeer te manipuleren. Hoewel er geen misbruik in de praktijk is gemeld, vormt de kwetsbaarheid een aanzienlijk risico voor Kubernetes-clusters die Cilium gebruiken en vertrouwen op netwerkbeleid voor netwerkisolatie.
Exploit Status
EPSS
0.01% (1% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-33726 is het upgraden van Cilium naar versie 1.17.14 of hoger. Deze versie bevat een fix die de kwetsbaarheid in de L7 proxy aanpakt. Tijdens het upgraden wordt aanbevolen om bestaande netwerkbeleid te beoordelen en te versterken om potentiële impact te minimaliseren. Overweeg het gebruik van restrictievere netwerkbeleid, vooral voor pods die gevoelige gegevens verwerken. Het monitoren van Cilium-logs op ongebruikelijk gedrag kan helpen bij het detecteren van mogelijke exploitatiepogingen. Bovendien is het cruciaal om het principe van minimale privileges toe te passen, zodat pods alleen toegang hebben tot de resources die ze nodig hebben. De upgrade moet in een testomgeving worden uitgevoerd voordat deze in productie wordt geïmplementeerd om serviceonderbrekingen te voorkomen.
Actualice Cilium a la versión 1.17.14, 1.18.8 o 1.19.2, o a una versión posterior que contenga la corrección para esta vulnerabilidad. Esto asegura que las políticas de red de Kubernetes se apliquen correctamente al tráfico L7.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Cilium is een high-performance netwerklaag voor Kubernetes die netwerkconnectiviteit, beveiliging en observatie biedt.
NetworkPolicy definieert hoe pods met elkaar kunnen communiceren en biedt een fijnmazige controle over het netwerkverkeer binnen een Kubernetes-cluster.
Controleer de geïnstalleerde Cilium-versie. Als deze vóór 1.17.14 ligt, is deze kwetsbaar. Controleer ook uw netwerkbeleid om te zorgen voor de verwachte netwerkisolatie.
Beoordeel en versterk uw netwerkbeleid om het risico te beperken. Monitor Cilium-logs.
Vulnerability-scanning tools kunnen helpen bij het identificeren van kwetsbare Cilium-versies en het voorstellen van mitigatiestappen.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.