CVE-2026-33726 in Cilium
Zusammenfassung
von VulDB • 20.05.2026
Cilium ist eine Lösung für Networking, Observability und Sicherheit mit einer auf eBPF basierenden Datenebene. Vor den Versionen 1.17.14, 1.18.8 und 1.19.2 werden Ingress Network Policies für den Datenverkehr von Pods zu L7-Diensten (Envoy, GAMMA) mit einem lokalen Backend auf demselben Knoten nicht durchgesetzt, wenn Per-Endpoint Routing aktiviert und BPF Host Routing deaktiviert ist. Per-Endpoint Routing ist standardmäßig deaktiviert, wird jedoch in Bereitstellungen, die Cloud IPAM verwenden, automatisch aktiviert, einschließlich Cilium ENI auf EKS (`eni.enabled`), AlibabaCloud ENI (`alibabacloud.enabled`), Azure IPAM (`azure.enabled`, jedoch nicht AKS BYOCNI) und einigen GKE-Bereitstellungen (`gke.enabled`; verwaltete Angebote wie GKE Dataplane V2 können andere Standards verwenden). In Tunnel-Bereitstellungen ist es in der Regel nicht aktiviert, und Chaining-Bereitstellungen sind nicht betroffen. In der Praxis ist Amazon EKS mit dem Cilium ENI-Modus wahrscheinlich die am häufigsten betroffene Umgebung. Die Versionen 1.17.14, 1.18.8 und 1.19.2 enthalten einen Patch. Derzeit gibt es keine offiziell verifizierte oder umfassende Umgehungsmöglichkeit für dieses Problem. Die einzige Option wäre, Per-Endpoint-Routes zu deaktivieren, was jedoch wahrscheinlich zu Unterbrechungen laufender Verbindungen und zu potenziellen Konflikten bei der Nutzung von Cloud-Anbietern führen würde.
If you want to get best quality of vulnerability data, you may have to visit VulDB.