CVE-2026-13318
ŚrednieCVSS 6.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 6 - wyżej niż 6% wszystkich znanych CVE
Streszczenie
W KubeVirt znaleziono podatność SSRF w handlerze port-forward virt-api. Podczas przetwarzania żądania port-forward do instancji VMI, virt-api odczytuje docelowy adres IP z vmi.Status.Interfaces[0].IP i przekazuje go bezpośrednio do net.Dial() bez walidacji. Dla VMI używających nie-maskujących wiązań sieciowych (bridge lub secondary-only), ten adres IP jest raportowany przez agenta QEMU działającego wewnątrz VM i jest w pełni kontrolowany przez właściciela VM.
Ocena ryzyka
Atakujący z uprawnieniami kubevirt.io:edit może utworzyć VM ze zmodyfikowanym agentem gościa, który raportuje dowolny adres IP, a następnie żądać port-forward, aby ustanowić dwukierunkowy tunel TCP z pozycji sieciowej wewnątrz klastra virt-api do dowolnego routowalnego celu, omijając izolację NetworkPolicy.
Rekomendacja
Należy natychmiast zaktualizować KubeVirt do wersji zawierającej poprawkę walidującą adres IP w żądaniach port-forward. Do czasu aktualizacji należy ograniczyć uprawnienia kubevirt.io:edit dla nieufnych użytkowników oraz stosować dodatkowe reguły NetworkPolicy.
Oryginalny opis (angielski, źródło NVD)
A server-side request forgery (SSRF) flaw was found in KubeVirt's virt-api port-forward handler. When processing a port-forward request to a VirtualMachineInstance (VMI), virt-api reads the target IP from vmi.Status.Interfaces[0].IP and passes it directly to net.Dial() without validation. For VMIs using non-masquerade network bindings (bridge or secondary-only), this IP is reported by the QEMU guest agent running inside the VM and is fully controllable by the VM owner. An attacker with kubevirt.io:edit permissions can create a VM with a modified guest agent that reports an arbitrary IP address, then request port-forward to establish a bidirectional TCP tunnel from virt-api's cluster-internal network position to any routable destination, bypassing NetworkPolicy isolation.

