关键信息总结 CVE: CVE-2025-14876 公开日期: 2024年12月14日 最后修改日期: 2025年12月18日 严重性: 中等 CVSS v3 基本分数: 5.5 漏洞描述: 在QEMU的virtio-crypto设备中发现了一个漏洞。恶意的客户操作系统可以利用AKCIPHER路径中缺少的长度限制,导致不受控的内存分配。这可能会导致主机系统上的拒绝服务(DoS),通过使QEMU进程意外终止。 漏洞类型: CWE-770 - 资源分配无限制或节流 受影响的组件: - Red Hat Enterprise Linux 10: qemu-kvm (未受影响) - Red Hat Enterprise Linux 6: qemu-kvm (未受影响) - Red Hat Enterprise Linux 7: qemu-kvm (未受影响) - Red Hat Enterprise Linux 7: qemu-kvm-ma (未受影响) - Red Hat Enterprise Linux 8: virt:yhei/qemu-kvm (未受影响) - Red Hat Enterprise Linux 9: qemu-kvm (未受影响) - Red Hat OpenShift Container Platform 4: rhcos (未受影响) CVSS v3 分数构成: - 攻击向量: Local - 攻击复杂度: 低 - 必需权限: 低 - 用户交互: 无 - 作用范围: 不变 - 保密性影响: 无 - 完整性影响: 无 - 可用性影响: 高 技术影响: DoS: CPU资源消耗; DoS: 内存资源消耗; DoS: 其他资源消耗 致谢: James Nakamura报告了此问题