CVE-2025-22021

Nome do Software Vulnerável e Versões Afetadas Kernel Linux (versões afetadas não especificadas)

Descrição O problema refere-se a uma vulnerabilidade na implementação de socket do netfilter do Kernel Linux. Especificamente, o equivalente IPv6 da função nf sk lookup slow v4, nf sk lookup slow v6, não realiza uma consulta conntrack. Esta omissão faz com que o xt socket falhe ao corresponder o socket quando um pacote passou por SNAT. A vulnerabilidade afeta o SNAT IPv6 utilizado em clusters Kubernetes para pacotes do pod para o mundo, onde os endereços de pod na sub-rede ULA fd00::/8 precisam ser substituídos pelo endereço externo do nó. O Cilium, que utiliza o Envoy para imposição de políticas L7 e usa sockets transparentes, é impactado, pois sua regra de prerouting do iptables falha ao corresponder pacotes IPv6 com SNAT devido à falta da consulta conntrack.

Recomendações Atualmente, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.