Katalog CVE

CVE-2025-12748

ŚrednieCVSS 5.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.19%

Percentyl 8 - wyżej niż 8% wszystkich znanych CVE

Streszczenie

W bibliotece libvirt odkryto usterkę w przetwarzaniu plików XML. Konkretnie, parsowanie plików XML dostarczonych przez użytkownika było wykonywane przed sprawdzeniem list kontroli dostępu (ACL). Złośliwy użytkownik z ograniczonymi uprawnieniami mógł wykorzystać tę usterkę, przesyłając specjalnie spreparowany plik XML, co powodowało przydzielenie zbyt dużej ilości pamięci na hoście. Nadmierne zużycie pamięci mogło doprowadzić do awarii procesu libvirt na hoście, skutkując odmową usługi (DoS).

Ocena ryzyka

Ryzyko polega na możliwości przeprowadzenia ataku DoS przez nieuprzywilejowanego użytkownika, co może zakłócić działanie usług wirtualizacyjnych na hoście i wpłynąć na dostępność krytycznych systemów.

Rekomendacja

Należy niezwłocznie zaktualizować bibliotekę libvirt do wersji, w której poprawiono tę podatność. Do czasu aktualizacji zaleca się ograniczenie dostępu do interfejsów akceptujących pliki XML oraz monitorowanie zużycia pamięci przez procesy libvirt.

Oryginalny opis (angielski, źródło NVD)

A flaw was discovered in libvirt in the XML file processing. More specifically, the parsing of user provided XML files was performed before the ACL checks. A malicious user with limited permissions could exploit this flaw by submitting a specially crafted XML file, causing libvirt to allocate too much memory on the host. The excessive memory consumption could lead to a libvirt process crash on the host, resulting in a denial-of-service condition.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS