Katalog CVE

CVE-2026-47213

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.04%

Percentyl 12 — wyżej niż 12% wszystkich znanych CVE

Streszczenie

Boxlite to usługa sandbox, która pozwala użytkownikom na tworzenie lekkich maszyn wirtualnych i uruchamianie kontenerów OCI. W wersjach 0.8.2 i wcześniejszych, Boxlite używa sygnału SIGALRM do zakończenia procesów po upływie czasu, co może być wykorzystane przez złośliwy kod do kontynuowania działania, prowadząc do wyczerpania zasobów.

Ocena ryzyka

Złośliwy kod może wykorzystać tę podatność do utrzymania działania po upływie czasu, co może wpłynąć na dostępność usługi Boxlite i prowadzić do problemów z zasobami w maszynach wirtualnych.

Rekomendacja

Zaleca się aktualizację Boxlite do wersji zawierającej poprawkę, aby zapobiec wykorzystaniu tej podatności przez złośliwe oprogramowanie.

Oryginalny opis (angielski, źródło NVD)

Boxlite is a sandbox service that allows users to create lightweight virtual machines (Boxes) and launch OCI containers within them to run untrusted code. In versions 0.8.2 and prior, Boxlite allows users to configure a timeout for services running inside the virtual machine. When the timeout is triggered, Boxlite sends a signal to kill the process. However, instead of using the uncatchable SIGKILL signal, Boxlite uses the catchable SIGALRM signal. Malicious code running inside the sandbox can exploit this vulnerability to continue running after the timeout is triggered, leading to resource exhaustion within the virtual machine and affecting the availability of the Boxlite service. This issue has been patched via commit 28159fc.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS