CVE-2025-13193
ŚrednieCVSS 5.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 1 - wyżej niż 1% wszystkich znanych CVE
Streszczenie
W bibliotece libvirt wykryto podatność, w której zewnętrzne nieaktywne migawki dla wyłączonych maszyn wirtualnych są domyślnie tworzone z uprawnieniami odczytu dla wszystkich użytkowników. Umożliwia to nieuprzywilejowanym użytkownikom przeglądanie zawartości systemu gościa, co prowadzi do ujawnienia informacji.
Ocena ryzyka
Ryzyko polega na tym, że każdy użytkownik lokalny może odczytać dane z migawek maszyn wirtualnych, co może prowadzić do wycieku poufnych informacji przechowywanych w systemie gościa.
Rekomendacja
Należy zaktualizować libvirt do najnowszej wersji zawierającej poprawkę oraz ręcznie zmienić uprawnienia istniejących migawek na bardziej restrykcyjne (np. 0600).
Oryginalny opis (angielski, źródło NVD)
A flaw was found in libvirt. External inactive snapshots for shut-down VMs are incorrectly created as world-readable, making it possible for unprivileged users to inspect the guest OS contents. This results in an information disclosure vulnerability.

