CVE-2026-13322
NiskieCVSS 3.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 1 — wyżej niż 1% wszystkich znanych CVE
Streszczenie
W KubeVirt znaleziono lukę w serwerze downward metrics virtio-serial. Serwer odczytuje żądania gościa za pomocą textproto.Reader.ReadLine(), który buforuje dane bez ograniczenia długości lub limitu czasu, dopóki nie otrzyma znaku nowej linii. Użytkownik mający dostęp do maszyny wirtualnej z skonfigurowanym urządzeniem downward metrics virtio-serial może wysłać ciągły strumień bajtów, powodując nieograniczone przydzielanie pamięci w procesie virt-handler, aż do jego zabicia przez OOM.
Ocena ryzyka
Ryzyko polega na możliwości przeprowadzenia ataku typu odmowa usługi (DoS) na hosta KubeVirt poprzez wyczerpanie pamięci procesu virt-handler, co może zakłócić działanie innych maszyn wirtualnych i całego klastra.
Rekomendacja
Zaleca się natychmiastowe zastosowanie poprawek dostarczonych przez projekt KubeVirt oraz ograniczenie dostępu do urządzenia downward metrics virtio-serial tylko do zaufanych maszyn wirtualnych.
Oryginalny opis (angielski, źródło NVD)
A flaw was found in KubeVirt's downward metrics virtio-serial server. The server reads guest requests using textproto.Reader.ReadLine(), which buffers input indefinitely until a newline character is received, with no length limit or read deadline. A user with access to a VM guest that has the downward metrics virtio-serial device configured can write a continuous byte stream to the device, causing unbounded memory allocation in the virt-handler process until it is OOM-killed.

