Katalog CVE

CVE-2026-13322

NiskieCVSS 3.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.10%

Percentyl 1 — wyżej niż 1% wszystkich znanych CVE

Streszczenie

W KubeVirt znaleziono lukę w serwerze downward metrics virtio-serial. Serwer odczytuje żądania gościa za pomocą textproto.Reader.ReadLine(), który buforuje dane bez ograniczenia długości lub limitu czasu, dopóki nie otrzyma znaku nowej linii. Użytkownik mający dostęp do maszyny wirtualnej z skonfigurowanym urządzeniem downward metrics virtio-serial może wysłać ciągły strumień bajtów, powodując nieograniczone przydzielanie pamięci w procesie virt-handler, aż do jego zabicia przez OOM.

Ocena ryzyka

Ryzyko polega na możliwości przeprowadzenia ataku typu odmowa usługi (DoS) na hosta KubeVirt poprzez wyczerpanie pamięci procesu virt-handler, co może zakłócić działanie innych maszyn wirtualnych i całego klastra.

Rekomendacja

Zaleca się natychmiastowe zastosowanie poprawek dostarczonych przez projekt KubeVirt oraz ograniczenie dostępu do urządzenia downward metrics virtio-serial tylko do zaufanych maszyn wirtualnych.

Oryginalny opis (angielski, źródło NVD)

A flaw was found in KubeVirt's downward metrics virtio-serial server. The server reads guest requests using textproto.Reader.ReadLine(), which buffers input indefinitely until a newline character is received, with no length limit or read deadline. A user with access to a VM guest that has the downward metrics virtio-serial device configured can write a continuous byte stream to the device, causing unbounded memory allocation in the virt-handler process until it is OOM-killed.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS