CVE-2026-26963

Nome do Software Vulnerável e Versões Afetadas Versões do Cilium de 1.18.0 a 1.18.5

Descrição O Cilium, uma solução de rede, observabilidade e segurança que utiliza um plano de dados baseado em eBPF, é afetado por um problema onde o tráfego de Pods em outros nodes pode ser permitido incorretamente. Isso ocorre quando o Roteamento Nativo, o WireGuard e a Criptografia de Nó estão habilitados simultaneamente. O problema decorre de uma aplicação incorreta de políticas quando essas configurações estão ativas. Uma correção foi introduzida na versão 1.18.6. Uma solução alternativa envolve adicionar regras e rotas IP para garantir que todo o tráfego de entrada (ingress) da interface cilium wg0 seja roteado para cilium host para aplicação de políticas. Isso garante que as políticas de segurança em nível de host sejam aplicadas ao tráfego WireGuard descriptografado. A solução alternativa envolve executar os seguintes comandos em cada CiliumNode:

# IPv4 Traffic
ip rule add iif cilium wg0 table 300
ip route add default dev cilium host table 300

# IPv6 Traffic
ip -6 rule add iif cilium wg0 table 300
ip -6 route add default dev cilium net table 300

Recomendações As versões do Cilium de 1.18.0 a 1.18.5 devem ser atualizadas para a versão 1.18.6 ou posterior. Como solução alternativa temporária, adicione as seguintes regras e rotas IP em cada CiliumNode:

# IPv4 Traffic
ip rule add iif cilium wg0 table 300
ip route add default dev cilium host table 300

# IPv6 Traffic
ip -6 rule add iif cilium wg0 table 300
ip -6 route add default dev cilium net table 300