Katalog CVE

CVE-2026-13208

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.09%

Percentyl 1 — wyżej niż 1% wszystkich znanych CVE

Streszczenie

W KubeVirt znaleziono lukę w serwerze powiadomień domeny virt-handler. Procedury obsługi gRPC dla HandleDomainEvent i HandleK8SEvent pobierają tożsamość VMI (przestrzeń nazw/nazwa) wyłącznie z treści żądania, bez weryfikacji jej względem źródła połączenia. Każdy proces virt-launcher łączy się przez gniazdo potoku per-VMI, ale żaden znacznik tożsamości nie jest propagowany ze ścieżki potoku do procedur obsługi serwera.

Ocena ryzyka

Skompromitowany proces virt-launcher może wysyłać sfałszowane zdarzenia cyklu życia domeny dla dowolnej innej VMI zaplanowanej na tym samym węźle, powodując błędną aktualizację stanu tej VMI przez virt-handler i zakłócenie zarządzania jej cyklem życia.

Rekomendacja

Należy niezwłocznie zaktualizować KubeVirt do wersji zawierającej poprawkę usuwającą tę lukę. Do czasu aktualizacji zaleca się ograniczenie zaufania do procesów virt-launcher oraz monitorowanie nietypowych zdarzeń domeny.

Oryginalny opis (angielski, źródło NVD)

A flaw was found in KubeVirt's virt-handler domain notify server. The gRPC handlers for HandleDomainEvent and HandleK8SEvent derive the VMI identity (namespace/name) solely from the request body without validating it against the connection's origin. Each virt-launcher pod connects through a per-VMI pipe socket, but no identity tag is propagated from the pipe path to the server handlers. This allows a compromised virt-launcher process to send forged domain lifecycle events for any other VMI scheduled on the same node, causing virt-handler to erroneously update that VMI's state and disrupt its lifecycle management.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS