CVE-2026-7374
KrytyczneCVSS 9.9Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 44 — wyżej niż 44% wszystkich znanych CVE
Streszczenie
W KubeVirt w komponencie virt-handler znaleziono lukę umożliwiającą uwierzytelnionemu użytkownikowi OpenShift z uprawnieniami edycji w pojedynczej przestrzeni nazw wykorzystanie nieprawidłowej walidacji dowiązań symbolicznych podczas łączenia z konsolami maszyn wirtualnych. Poprzez zastąpienie gniazda konsoli dowiązaniem symbolicznym do gniazda CRI-O hosta, atakujący może przejąć uprzywilejowane połączenie virt-handlera, uzyskując dostęp do dowolnego gniazda Unix na hoście, co może prowadzić do pełnej kontroli nad węzłem i całym klastrem.
Ocena ryzyka
Ryzyko dla organizacji jest krytyczne – atakujący może przejąć kontrolę nad całym klastrem Kubernetes, co prowadzi do naruszenia poufności, integralności i dostępności wszystkich obciążeń oraz danych.
Rekomendacja
Należy natychmiast zaktualizować KubeVirt do wersji zawierającej poprawkę usuwającą lukę oraz ograniczyć uprawnienia edycji w przestrzeniach nazw do niezbędnego minimum.
Oryginalny opis (angielski, źródło NVD)
A flaw was found in KubeVirt's virt-handler component. This vulnerability allows an authenticated OpenShift user with edit permissions in a single namespace to exploit improper symlink validation when connecting to virtual machine console sockets. By replacing the console socket with a symlink to the host's container runtime (CRI-O) socket, an attacker can hijack virt-handler's privileged connection. This enables the attacker to access any Unix socket on the host, potentially leading to full control of the node and the entire cluster.

