CVE-2026-13434
ŚrednieCVSS 4.9Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 5 — wyżej niż 5% wszystkich znanych CVE
Streszczenie
W KubeVirt znaleziono podatność w generatorze adnotacji sieciowych. Brak walidacji wartości networkName pozwala tenantowi z uprawnieniami kubevirt.io:edit na wstrzyknięcie kodu JSON do adnotacji v1.multus-cni.io/default-network. Gdy włączona jest funkcja ExternalNetResourceInjection (domyślnie wyłączona), Multus może podłączyć pod do dowolnej sieci w dowolnej przestrzeni nazw.
Ocena ryzyka
Organizacja narażona jest na nieautoryzowany dostęp do sieci w innych przestrzeniach nazw oraz podszywanie się pod adresy IP i MAC. Może to prowadzić do naruszenia izolacji sieciowej i eskalacji uprawnień w środowisku wielodostępnym.
Rekomendacja
Należy wyłączyć funkcję ExternalNetResourceInjection, jeśli nie jest wymagana, oraz zaktualizować KubeVirt do wersji zawierającej poprawkę walidacji. Dla OpenShift Virtualization 4.21 i nowszych zastosować odpowiednie łatki bezpieczeństwa.
Oryginalny opis (angielski, źródło NVD)
A flaw was found in KubeVirt's network annotation generator. When a tenant creates a VirtualMachineInstance with a Multus network configuration, the supplied networkName value is written verbatim into the launcher pod's v1.multus-cni.io/default-network annotation without format validation or sanitization. The only admission check rejects empty strings; no DNS-1123 format validation, JSON detection, or special character rejection is performed. When the ExternalNetResourceInjection Beta feature gate is enabled (off by default, cluster-admin only), the NAD lookup that would otherwise catch malformed names is skipped by design. A tenant with kubevirt.io:edit permissions can inject a JSON-formatted NetworkSelectionElement array specifying an arbitrary namespace, NAD name, static IP address, and MAC address. Multus on the node parses this JSON and attaches the launcher pod to the specified network attachment in any namespace, enabling cross-namespace network access and IP/MAC impersonation on network segments normally segregated from tenant workloads. The ExternalNetResourceInjection feature gate was introduced in KubeVirt v1.8.0 (first shipped in OpenShift Virtualization 4.21).

