#CVE
标签 · 共 2 篇
云原生安全··0 分钟
CVE-2026-33726 的启示:Cilium eBPF 数据路径中的策略执行盲区与检测边界
CVE-2026-33726 揭示了 Cilium 在 Per-Endpoint Routing 与 BPF Host Routing 组合下的 Ingress Network Policy 执行盲区。本文从 eBPF 数据路径、策略编译机制和生产检测方法三个维度,拆解这一漏洞的根因、影响边界和防御思路。
#Cilium#eBPF#Kubernetes
云原生安全··0 分钟
Kyverno 的 apiCall 不是只读查询:从 CVE-2026-22039 看 admission controller 的隐性授权边界
CVE-2026-22039 暴露了 Kyverno 策略引擎的一个根本性设计盲区:namespaced Policy 的 apiCall 使用 admission controller 自身的 ServiceAccount 执行 API 请求,且未限制命名空间范围。本文从根因分析、补丁盲区到 confused deputy,拆解 admission controller 的隐性授权边界问题。
#Kubernetes#Kyverno#准入控制