平台
go
组件
github.com/cilium/cilium
修复版本
1.17.15
1.18.1
1.19.1
1.17.14
1.17.14
1.17.14
CVE-2026-33726是一个Cilium L7代理可能绕过Kubernetes网络策略的漏洞,影响github.com/cilium/cilium。该漏洞可能允许同节点流量绕过预定的网络策略,造成潜在的安全风险。受影响的版本包括github.com/cilium/cilium。此问题已在1.17.14版本中修复。
Cilium中的CVE-2026-33726影响了L7代理,可能导致同一Kubernetes节点的流量绕过定义的网络策略。这意味着一个Pod可能在没有网络策略授权的情况下与同一节点上的另一个Pod进行通信,从而损害了预期的网络隔离。CVSS评分是5.4,表明存在中等风险。该漏洞在于Cilium如何处理同一节点场景中的L7流量路由。如果攻击者能够利用此漏洞,他们可能会访问集群中的敏感资源或中断服务,尤其是在使用网络策略来保护机密数据或限制对关键应用程序的访问时。影响的严重程度取决于特定的集群配置和所涉及数据的敏感性。
利用CVE-2026-33726需要访问Kubernetes集群以及了解Cilium的L7代理的工作方式。攻击者可能会尝试在同一节点上的Pod之间发送恶意流量,以确定网络策略是否被正确应用。当L7代理未能正确应用针对来自和目的在于同一节点的流量的网络策略规则时,该漏洞会显现出来。利用的复杂性取决于集群配置和攻击者操纵流量的能力。虽然尚未报告任何实际的利用情况,但该漏洞对使用Cilium并依赖网络策略进行网络隔离的Kubernetes集群构成重大风险。
漏洞利用状态
EPSS
0.01% (1% 百分位)
CISA SSVC
CVSS 向量
CVE-2026-33726的主要缓解措施是将Cilium升级到版本1.17.14或更高版本。此版本包含修复了L7代理中漏洞的修复程序。在升级过程中,建议审查并加强现有的网络策略,以尽量减少潜在的影响。考虑使用更严格的网络策略,尤其是对于处理敏感数据的Pod。监控Cilium日志中是否存在异常行为可以帮助检测潜在的利用尝试。此外,至关重要的是应用最小权限原则,确保Pod只能访问其需要的资源。升级应在测试环境中执行,然后再在生产环境中部署,以避免服务中断。
Actualice Cilium a la versión 1.17.14, 1.18.8 o 1.19.2, o a una versión posterior que contenga la corrección para esta vulnerabilidad. Esto asegura que las políticas de red de Kubernetes se apliquen correctamente al tráfico L7.
漏洞分析和关键警报直接发送到您的邮箱。
Cilium是Kubernetes的高性能网络层,提供网络连接、安全性和可观察性。
NetworkPolicy定义了Pod如何相互通信,从而在Kubernetes集群中对网络流量提供细粒度的控制。
检查已安装的Cilium版本。如果低于1.17.14,则存在漏洞。此外,请审查您的网络策略,以确保网络隔离符合预期。
在无法升级时,审查并加强您的网络策略以减轻风险。监控Cilium日志。
漏洞扫描工具可以帮助识别易受攻击的Cilium版本并提出缓解措施。
上传你的 go.mod 文件,立即知道是否受影响。