Podsumowanie
| Parametr | Wartość |
|---|---|
| CVE ID | CVE-2026-7374 |
| Źródło alertu | GitHub Advisory - Krytyczna podatność |
| Rok publikacji CVE | 2026 |
| Data publikacji | 2026-05-26 |
| Producent | KubeVirt |
| Produkt | virt-handler |
| CVSS Score | 9.9 (Krytyczny) |
| EPSS Score | Brak danych |
| CISA KEV | Nie |
| Ransomware | Nie potwierdzono |
Opis podatności
Źródło: NVD
Wykryto lukę w komponencie virt-handler projektu KubeVirt. Podatność pozwala uwierzytelnionemu użytkownikowi OpenShift z uprawnieniami edycji w pojedynczym namespace na wykorzystanie nieprawidłowej walidacji dowiązań symbolicznych (symlink) podczas łączenia się z gniazdami konsoli maszyny wirtualnej. Zastępując gniazdo konsoli dowiązaniem symbolicznym do gniazda środowiska uruchomieniowego kontenerów hosta (CRI-O), atakujący może przejąć uprzywilejowane połączenie virt-handler. Umożliwia to dostęp do dowolnego gniazda Unix na hoście, co może prowadzić do pełnego przejęcia kontroli nad węzłem.
Wymagane działania
Zastosuj poprawki lub środki zaradcze producenta tak szybko, jak będą dostępne.
Kogo dotyczy?
Podatność dotyczy produktu virt-handler firmy KubeVirt. Sprawdź czy Twoja organizacja używa tego oprogramowania i czy wymaga aktualizacji.
Źródła
Potrzebujesz wsparcia w zabezpieczeniu systemów? Zespół nFlo oferuje usługi zarządzania podatnościami oraz SOC 24/7. Skontaktuj się z nami.
