CVE-2026-33726Cilium是基于eBPF的数据平面网络、可观测性和安全解决方案。在1.17.14、1.18.8和1.19.2版本之前,当启用Per-Endpoint Routing并禁用BPF Host Routing时,来自同一节点上Pod发往具有本地后端的L7服务(Envoy、GAMMA)的入站网络策略无法被强制执行。Per-Endpoint Routing在使用云IPAM(如EKS Cilium ENI)的部署中会自动启用,这使得Amazon EKS成为最可能受影响的环境。该漏洞可能导致攻击者绕过网络隔离限制。
该漏洞源于Cilium在特定网络拓扑配置下的策略执行逻辑缺陷。当系统启用Per-Endpoint路由(常见于使用云IPAM的部署环境,如AWS EKS ENI模式),并同时禁用BPF Host Routing时,Cilium的数据平面在处理流量时存在盲区。具体而言,对于从同一节点上的Pod发往该节点上本地L7服务(如Envoy或GAMMA)后端的入站流量,网络策略未能被正确强制执行。攻击者如果能够控制同一节点上的低权限Pod,即可利用此配置缺陷,绕过Kubernetes网络策略定义的隔离规则,非法访问受保护的L7服务。这违反了预期的安全模型,导致机密性(C:L)和完整性(I:L)受到影响。尽管需要邻接网络访问(AV:A)和低权限(PR:L),但在共享的多租户Kubernetes集群中,此风险具有较高的实际利用价值。