CVE-2026-13325
WysokieCVSS 8.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 7 — wyżej niż 7% wszystkich znanych CVE
Streszczenie
W KubeVirt znaleziono poważną lukę w proxy migracji. Gdy w zasobie niestandardowym KubeVirt ustawiono spec.configuration.migrations.disableTLS na true, docelowy virt-handler tworzy zwykły nasłuch TCP na wszystkich interfejsach (0.0.0.0/::) na losowym porcie bez uwierzytelniania, listy dozwolonych peerów ani tokena uzgadniania. Ten nasłuch proxy bezpośrednio do gniazda kontrolnego virtqemud docelowego virt-launchera.
Ocena ryzyka
Atakujący z działającym podem w sieci klastra może połączyć się z tym nasłuchem i wydawać nieprzefiltrowane polecenia RPC libvirt przeciwko maszynie wirtualnej innego dzierżawcy, w tym odczytywać pamięć VM i konfigurację, modyfikować stan VM przez QMP lub niszczyć VM.
Rekomendacja
Natychmiast nie ustawiaj disableTLS na true w konfiguracji KubeVirt, chyba że jest to absolutnie konieczne i w pełni rozumiesz ryzyko. Rozważ użycie dedykowanej sieci migracji z TLS i uwierzytelnianiem wzajemnym.
Oryginalny opis (angielski, źródło NVD)
A flaw was found in KubeVirt's migration proxy. When spec.configuration.migrations.disableTLS is set to true on the KubeVirt custom resource, the target virt-handler binds a plain TCP listener on all interfaces (0.0.0.0/::) on a random port with no authentication, peer allow-list, or handshake token. This listener proxies directly into the target virt-launcher's virtqemud control socket. An attacker with a running pod on the cluster network can connect to this listener and issue unfiltered libvirt RPC commands against another tenant's virtual machine, including reading VM memory and configuration, modifying VM state via QMP, or destroying the VM. The bind address is unconditionally 0.0.0.0 — configuring a dedicated migration network via migrations.network only changes the advertised migration IP, not the listener bind address, so the port remains reachable on the pod network even when a dedicated migration network is configured. The API documentation describes disableTLS as removing "the additional layer of live migration encryption" without disclosing that it also removes all mutual authentication.

