CVE-2026-33726 in Cilium
Résumé
par VulDB • 20/05/2026
Cilium est une solution de réseau, d’observabilité et de sécurité reposant sur un plan de données basé sur eBPF. Avant les versions 1.17.14, 1.18.8 et 1.19.2, les politiques réseau d’entrée (Ingress Network Policies) ne sont pas appliquées pour le trafic provenant des pods vers les services de couche 7 (L7 Services) (Envoy, GAMMA) disposant d’un backend local sur le même nœud, lorsque le routage par point de terminaison (Per-Endpoint Routing) est activé et que le routage hôte BPF (BPF Host Routing) est désactivé. Le routage par point de terminaison est désactivé par défaut, mais il est activé automatiquement dans les déploiements utilisant un système d’attribution d’adresses IP cloud (IPAM), y compris Cilium ENI sur EKS (`eni.enabled`), AlibabaCloud ENI (`alibabacloud.enabled`), Azure IPAM (`azure.enabled`, sauf pour AKS BYOCNI) et certains déploiements GKE (`gke.enabled` ; les offres gérées telles que GKE Dataplane V2 peuvent utiliser des valeurs par défaut différentes). Il n’est généralement pas activé dans les déploiements en mode tunnel, et les déploiements en chaîne (chaining deployments) ne sont pas concernés. En pratique, Amazon EKS en mode Cilium ENI constitue probablement l’environnement le plus couramment affecté. Les versions 1.17.14, 1.18.8 et 1.19.2 contiennent un correctif. Il n’existe actuellement aucune solution de contournement officiellement vérifiée ou complète pour ce problème. La seule option consisterait à désactiver les routes par point de terminaison, mais cela pourrait entraîner des perturbations des connexions en cours et des conflits potentiels lors de l’exécution sur des fournisseurs de cloud.
Once again VulDB remains the best source for vulnerability data.