CVE-2026-57965
ŚrednieCVSS 5.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 2 — wyżej niż 2% wszystkich znanych CVE
Streszczenie
W bibliotece spice-vdagent wykryto podatność polegającą na przepełnieniu liczby całkowitej. Złośliwy lub skompromitowany host SPICE może wysłać spreparowaną wiadomość, co prowadzi do przepełnienia bufora sterty i awarii demona spice-vdagent. Powoduje to odmowę usługi (DoS) dla maszyny wirtualnej.
Ocena ryzyka
Ryzyko polega na możliwości zdalnego wywołania awarii demona spice-vdagent przez nieufany host SPICE, co skutkuje przerwaniem działania maszyny wirtualnej i potencjalnym zakłóceniem pracy użytkowników.
Rekomendacja
Należy zaktualizować bibliotekę spice-vdagent do najnowszej wersji zawierającej poprawkę. Dodatkowo zaleca się ograniczenie zaufania do hostów SPICE oraz monitorowanie ruchu pod kątem podejrzanych wiadomości.
Oryginalny opis (angielski, źródło NVD)
A flaw was found in spice-vdagent. A malicious or compromised SPICE host can trigger an integer overflow by sending a specially crafted message. This vulnerability can lead to a heap buffer overflow, causing the spice-vdagent daemon to crash and resulting in a Denial of Service (DoS) for the virtual machine. This issue requires the SPICE host to be untrusted or compromised for exploitation.

