CVE-2024-47825

Cilium is a networking, observability, and security solution with an eBPF-based dataplane. Starting in version 1.14.0 and prior to versions 1.14.16 and 1.15.10, a policy rule denying a prefix that is broader than `/32` may be ignored if there is a policy rule referencing a more narrow prefix (`CIDRSet` or `toFQDN`) and this narrower policy rule specifies either `enableDefaultDeny: false` or `- toEntities: all`. Note that a rule specifying `toEntities: world` or `toEntities: 0.0.0.0/0` is insufficient, it must be to entity `all`.This issue has been patched in Cilium v1.14.16 and v1.15.10. As this issue only affects policies using `enableDefaultDeny: false` or that set `toEntities` to `all`, some workarounds are available. For users with policies using `enableDefaultDeny: false`, remove this configuration option and explicitly define any allow rules required. For users with egress policies that explicitly specify `toEntities: all`, use `toEntities: world`.

CVSS v3 4.0 MEDIUM

4.0^/10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 2.2 / Impact : 1.4

Attack Vector NETWORK

Attack Complexity HIGH

Privileges Required NONE

User Interaction NONE

Confidentiality Impact LOW

Integrity Impact NONE

Availability Impact NONE

Scope CHANGED

References

Link	Resource
https://github.com/cilium/cilium/security/advisories/GHSA-3wwx-63fv-pfq6	Vendor Advisory

Configurations

Configuration 1 (hide)

OR	cpe:2.3:a:cilium:cilium::::::::
	cpe:2.3:a:cilium:cilium::::::::

History

19 Dec 2024, 15:59

Type	Values Removed	Values Added
References	~~() https://github.com/cilium/cilium/security/advisories/GHSA-3wwx-63fv-pfq6 -~~	() https://github.com/cilium/cilium/security/advisories/GHSA-3wwx-63fv-pfq6 - Vendor Advisory
First Time		Cilium Cilium cilium
CWE		NVD-CWE-noinfo
CPE		cpe:2.3:a:cilium:cilium::::::::

23 Oct 2024, 15:13

Type	Values Removed	Values Added
Summary		(es) Cilium es una solución de redes, observabilidad y seguridad con un plano de datos basado en eBPF. A partir de la versión 1.14.0 y antes de las versiones 1.14.16 y 1.15.10, una regla de política que deniegue un prefijo más amplio que `/32` puede ignorarse si hay una regla de política que haga referencia a un prefijo más estrecho (`CIDRSet` o `toFQDN`) y esta regla de política más estrecha especifica `enableDefaultDeny: false` o `- toEntities: all`. Tenga en cuenta que una regla que especifique `toEntities: world` o `toEntities: 0.0.0.0/0` no es suficiente, debe ser para la entidad `all`. Este problema se ha corregido en Cilium v1.14.16 y v1.15.10. Como este problema solo afecta a las políticas que utilizan `enableDefaultDeny: false` o que establecen `toEntities` en `all`, hay algunas soluciones alternativas disponibles. Para los usuarios con políticas que utilizan `enableDefaultDeny: false`, elimine esta opción de configuración y defina explícitamente las reglas de permiso requeridas. Para los usuarios con políticas de salida que especifican explícitamente `toEntities: all`, utilice `toEntities: world`.

21 Oct 2024, 19:15

Type	Values Removed	Values Added
New CVE

Information

Published : 2024-10-21 19:15

Updated : 2024-12-19 15:59

NVD link : CVE-2024-47825

Mitre link : CVE-2024-47825

CVE.ORG link : CVE-2024-47825

JSON object : View

Products Affected

cilium

cilium

CWE

CWE-276

Incorrect Default Permissions

NVD-CWE-noinfo

4.0 /10