CVE-2025-12748
ŚrednieCVSS 5.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 8 - wyżej niż 8% wszystkich znanych CVE
Streszczenie
W bibliotece libvirt odkryto usterkę w przetwarzaniu plików XML. Konkretnie, parsowanie plików XML dostarczonych przez użytkownika było wykonywane przed sprawdzeniem list kontroli dostępu (ACL). Złośliwy użytkownik z ograniczonymi uprawnieniami mógł wykorzystać tę usterkę, przesyłając specjalnie spreparowany plik XML, co powodowało przydzielenie zbyt dużej ilości pamięci na hoście. Nadmierne zużycie pamięci mogło doprowadzić do awarii procesu libvirt na hoście, skutkując odmową usługi (DoS).
Ocena ryzyka
Ryzyko polega na możliwości przeprowadzenia ataku DoS przez nieuprzywilejowanego użytkownika, co może zakłócić działanie usług wirtualizacyjnych na hoście i wpłynąć na dostępność krytycznych systemów.
Rekomendacja
Należy niezwłocznie zaktualizować bibliotekę libvirt do wersji, w której poprawiono tę podatność. Do czasu aktualizacji zaleca się ograniczenie dostępu do interfejsów akceptujących pliki XML oraz monitorowanie zużycia pamięci przez procesy libvirt.
Oryginalny opis (angielski, źródło NVD)
A flaw was discovered in libvirt in the XML file processing. More specifically, the parsing of user provided XML files was performed before the ACL checks. A malicious user with limited permissions could exploit this flaw by submitting a specially crafted XML file, causing libvirt to allocate too much memory on the host. The excessive memory consumption could lead to a libvirt process crash on the host, resulting in a denial-of-service condition.

