Vulnerabilidad en cilium (CVE-2026-33726)

Cilium es una solución de red, observabilidad y seguridad con un plano de datos basado en eBPF. Antes de las versiones 1.17.14, 1.18.8 y 1.19.2, las políticas de red de entrada (Ingress Network Policies) no se aplican para el tráfico de pods a servicios L7 (Envoy, GAMMA) con un backend local en el mismo nodo, cuando el enrutamiento por punto final (Per-Endpoint Routing) está habilitado y el enrutamiento de host BPF (BPF Host Routing) está deshabilitado. El enrutamiento por punto final (Per-Endpoint Routing) está deshabilitado por defecto, pero se habilita automáticamente en implementaciones que utilizan IPAM en la nube, incluyendo Cilium ENI en EKS ('eni.enabled'), AlibabaCloud ENI ('alibabacloud.enabled'), Azure IPAM ('azure.enabled', pero no AKS BYOCNI), y algunas implementaciones de GKE ('gke.enabled'; las ofertas gestionadas como GKE Dataplane V2 pueden usar valores predeterminados diferentes). Normalmente no está habilitado en implementaciones con túneles, y las implementaciones en cadena no se ven afectadas. En la práctica, Amazon EKS con modo Cilium ENI es probablemente el entorno afectado más común. Las versiones 1.17.14, 1.18.8 y 1.19.2 contienen un parche. Actualmente no existe una solución alternativa oficialmente verificada o completa para este problema. La única opción sería deshabilitar las rutas por punto final, pero esto probablemente causará interrupciones en las conexiones en curso, y posibles conflictos si se ejecuta en proveedores de la nube.