支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:736

73.6%
立即捐款
一、 漏洞 CVE-2026-23766 基础信息
漏洞信息
                                        # N/A

## 概述
Istio 版本 <= 1.28.2 存在一个机制,可通过 `traffic.sidecar.istio.io/excludeInterfaces` 注解影响 iptables 规则,从而改变防火墙行为。

## 影响版本
Istio ≤ 1.28.2

## 细节
攻击者可在 Pod 注解中使用 `traffic.sidecar.istio.io/excludeInterfaces`,指定某些网络接口排除在 sidecar 代理之外,该机制可间接影响 iptables 规则配置,进而改变容器的网络流量处理方式。

## 影响
此功能可能被利用来绕过预期的流量拦截或修改防火墙行为。但报告者认为不构成安全漏洞,因 Pod 创建者本身已有权限完全排除 sidecar 注入,能力相当。
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Istio through 1.28.2 allows iptables rule injection for changing firewall behavior via the traffic.sidecar.istio.io/excludeInterfaces annotation. NOTE: the reporter's position is "this doesn't represent a security vulnerability (pod creators can already exclude sidecar injection entirely)."
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:C/C:N/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
参数注入或修改
来源:美国国家漏洞数据库 NVD
漏洞标题
Istio 参数注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Istio是Istio开源的一套连接、管理和保护微服务的开放平台。 Istio 1.28.2及之前版本存在参数注入漏洞,该漏洞源于可通过注解注入iptables规则以更改防火墙行为。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2026-23766 的公开POC
#POC 描述源链接神龙链接
三、漏洞 CVE-2026-23766 的情报信息

  • 标题: Input validation for traffic.sidecar.istio.io/excludeInterfaces annotation · Issue #58781 · istio/istio -- 🔗来源链接

    标签:

    神龙速读:
                                            ### 关键信息

- **问题编号**: #58781
- **状态**: Open
- **报告人**: PetrMc
- **报告时间**: 5天前
- **严重性**: 非安全漏洞、非崩溃错误

#### Bug 描述

traffic.sidecar.istio.io/excludeInterfaces 注解目前接受任意字符串而没有验证,允许注入 iptables 匹配参数(例如,“eth0 -d 10.0.0.50 -p tcp --dport 8080”)。虽然这不构成安全漏洞(Pod 创建者可以完全排除 sidecar 注入),但它可能导致意外行为并使注解行为模糊。修复建议是验证注解是否只包含有效的接口名称。

#### 建议修复

验证接口名称以匹配 Linux 接口命名规则(最多 15 个字符,字母数字 + 有限特殊字符,无空格)。

#### 影响版本

所有当前版本,包括 1.29-alpha 版本。

#### 额外信息

报告由 Crowdstrike 提供。

#### 标签

- area/networking

#### 其他

- 参与人: PetrMc, calm329
- Pull 请求: #58785 已链接,预计将关闭此问题。
    Input validation for traffic.sidecar.istio.io/excludeInterfaces annotation · Issue #58781 · istio/istio

  • 标题: Add input validation for excludeInterfaces annotation by calm329 · Pull Request #58785 · istio/istio · GitHub -- 🔗来源链接

    标签:

    神龙速读:
                                            ### 关键信息

#### 漏洞描述
- **问题**:`traffic.sidecar.istio.io/excludeInterfaces` 注解未对输入进行验证,可接受任意字符串,允许注入 `iptables` 匹配参数(如 `-d 10.0.0.50 -p tcp --dport 8080`)。

#### 修复措施
- **验证规则**:确保每个接口名符合以下规则:
  - 最多15个字符(遵循 Linux IFNAMSIZ-1 限制)
  - 只包含字母数字字符、下划线、连字符和点
  - 非空

#### 相关标签
- `area/networking`
- `area/security`
- `size/M`

#### 关联问题
- #58781
- #58836

#### 修改及测试
- 修改了 `excludeInterfaces` 验证代码,利用正则表达式进行验证
- 添加相关测试用例,检查接口名的合规性

#### 状态
- 已修复并测试通过
    Add input validation for excludeInterfaces annotation by calm329 · Pull Request #58785 · istio/istio · GitHub
  • https://nvd.nist.gov/vuln/detail/CVE-2026-23766
四、漏洞 CVE-2026-23766 的评论

暂无评论

发表评论