CVE-2026-3196
ŚrednieCVSS 5.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 1 — wyżej niż 1% wszystkich znanych CVE
Streszczenie
Wykryto podatność na przepełnienie całkowitej liczby w urządzeniu virtio-snd, która występuje w wyniku żądań PCM_INFO od gościa. Złośliwy gość może dostarczyć liczbę strumieni poza dozwolonym zakresem, co może prowadzić do nieograniczonego przydziału pamięci na hoście oraz stanu odmowy usługi.
Ocena ryzyka
Podatność ta może prowadzić do poważnych problemów z dostępnością systemu, ponieważ nieograniczony przydział pamięci może wyczerpać zasoby hosta. Organizacje powinny być świadome ryzyka związanego z uruchamianiem złośliwych gości.
Rekomendacja
Zaleca się aktualizację oprogramowania wirtualizacyjnego oraz monitorowanie i ograniczanie dostępu do zasobów przez gości, aby zminimalizować ryzyko wykorzystania tej podatności.
Oryginalny opis (angielski, źródło NVD)
An integer overflow vulnerability was found in the virtio-snd device via PCM_INFO requests from the guest. A malicious guest can provide out-of-bounds stream counts, potentially leading to unbounded memory allocation on the host and a denial of service condition.

