Podatność w komponencie virt-handler projektu KubeVirt umożliwia uwierzytelnionemu użytkownikowi OpenShift z uprawnieniami do edycji w jednej przestrzeni nazw przejęcie uprzywilejowanego połączenia i uzyskanie pełnej kontroli nad węzłem oraz całym klastrem. Zagrożenie jest krytyczne ze względu na brak wymagań co do interakcji ofiary oraz efekt wykraczający poza granice przestrzeni nazw.
▸ Pokaż oryginał (EN)
A flaw was found in KubeVirt's virt-handler component. This vulnerability allows an authenticated OpenShift user with edit permissions in a single namespace to exploit improper symlink validation when connecting to virtual machine console sockets. By replacing the console socket with a symlink to the host's container runtime (CRI-O) socket, an attacker can hijack virt-handler's privileged connection. This enables the attacker to access any Unix socket on the host, potentially leading to full control of the node and the entire cluster.
Podatność wynika z nieprawidłowej walidacji symlinków (CWE-59) podczas nawiązywania połączenia z gniazdami konsolowymi maszyn wirtualnych przez komponent virt-handler. Atakujący zastępuje gniazdo konsolowe symbolicznym dowiązaniem (symlink) wskazującym na gniazdo środowiska uruchomieniowego kontenerów CRI-O na hoście. W wyniku tego virt-handler, działający z podwyższonymi uprawnieniami, nieświadomie nawiązuje połączenie z podstawionym gniazdem, co daje atakującemu dostęp do dowolnego gniazda Unix na hoście.
Atakujący może uzyskać pełną kontrolę nad węzłem klastra Kubernetes/OpenShift, a następnie poszerzyć atak na cały klaster, co obejmuje naruszenie poufności, integralności i dostępności wszystkich zasobów.
Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://access.redhat.com/security/cve/CVE-2026-7374). Jako obejście tymczasowe należy rozważyć ograniczenie uprawnień edycji w przestrzeniach nazw do zaufanych użytkowników oraz monitorowanie dostępu do gniazdek konsolowych maszyn wirtualnych.
KubeVirt — komponent virt-handler działający w środowiskach OpenShift; szczegółowe wersje wskazane w referencjach producenta (Red Hat Bugzilla #2463728)
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H