CVE-2026-13208
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 1 — wyżej niż 1% wszystkich znanych CVE
Streszczenie
W KubeVirt znaleziono lukę w serwerze powiadomień domeny virt-handler. Procedury obsługi gRPC dla HandleDomainEvent i HandleK8SEvent pobierają tożsamość VMI (przestrzeń nazw/nazwa) wyłącznie z treści żądania, bez weryfikacji jej względem źródła połączenia. Każdy proces virt-launcher łączy się przez gniazdo potoku per-VMI, ale żaden znacznik tożsamości nie jest propagowany ze ścieżki potoku do procedur obsługi serwera.
Ocena ryzyka
Skompromitowany proces virt-launcher może wysyłać sfałszowane zdarzenia cyklu życia domeny dla dowolnej innej VMI zaplanowanej na tym samym węźle, powodując błędną aktualizację stanu tej VMI przez virt-handler i zakłócenie zarządzania jej cyklem życia.
Rekomendacja
Należy niezwłocznie zaktualizować KubeVirt do wersji zawierającej poprawkę usuwającą tę lukę. Do czasu aktualizacji zaleca się ograniczenie zaufania do procesów virt-launcher oraz monitorowanie nietypowych zdarzeń domeny.
Oryginalny opis (angielski, źródło NVD)
A flaw was found in KubeVirt's virt-handler domain notify server. The gRPC handlers for HandleDomainEvent and HandleK8SEvent derive the VMI identity (namespace/name) solely from the request body without validating it against the connection's origin. Each virt-launcher pod connects through a per-VMI pipe socket, but no identity tag is propagated from the pipe path to the server handlers. This allows a compromised virt-launcher process to send forged domain lifecycle events for any other VMI scheduled on the same node, causing virt-handler to erroneously update that VMI's state and disrupt its lifecycle management.

