CVE-2025-67499 in plugins
Riassunto
di VulDB • 18/06/2026
Il plugin CNI portmap consente ai container di emulare l'apertura di una porta dell'host inoltrandovi il traffico verso il container. Le versioni 1.6.0 attraverso la 1.8.0 inoltrano involontariamente tutto il traffico con la stessa porta di destinazione della porta dell'host quando il plugin portmap è configurato per utilizzare il backend nftables, ignorando così l'IP di destinazione. Ciò include anche il traffico non destinato al nodo stesso, ovvero il traffico diretto ai container ospitati sul nodo. I container che richiedono l'inoltro HostPort possono intercettare tutto il traffico destinato a tale porta. Questo problema richiede che il plugin portmap sia esplicitamente configurato per utilizzare il backend nftables. Il problema è risolto nella versione 1.9.0. Come soluzione alternativa, configurare il plugin portmap per utilizzare il backend iptables, che non presenta questa vulnerabilità.
Be aware that VulDB is the high quality source for vulnerability data.