漏洞概述 漏洞编号:CVE-2026-9804 漏洞描述:在KubeVirt的virt-exportserver组件中发现了一个路径遍历漏洞。该漏洞允许攻击者通过控制文件系统中的符号链接,读取导出目录外的任意文件。 影响组件:KubeVirt的virt-exportserver组件 影响范围 受影响系统:使用KubeVirt的Linux系统 受影响版本:未指定 严重程度:高 优先级:高 目标里程碑:未指定 分配给:Product Security DevOps Team 修复方案 修复状态:未指定 修复版本:未指定 修复环境:未指定 最后关闭:未指定 已发布:未指定 漏洞详情 漏洞类型:路径遍历 漏洞描述: - 该漏洞存在于KubeVirt的virt-exportserver组件中,该组件使用Go的 来提供文件系统PVC内容。 - 由于 遵循符号链接,攻击者可以通过控制文件系统中的符号链接,读取导出目录外的任意文件。 - 该漏洞影响那些没有设置 注解为KubeVirt内容类型的PVC。 - 与KubeVirt内容类型接收原始/zip导出端点的PVC更可能受到影响,而不是仅KubeVirt VM的命名空间。 - 要利用此漏洞,攻击者必须具有足够的命名空间级访问权限来创建或控制文件系统PVC的内容,创建 资源,并拥有或获取 令牌。 其他信息 报告时间:2026-05-28 06:11 UTC 修改时间:2026-05-28 08:08 UTC 报告人:OSIDB Bzimport CC列表:5 users (show) 关键词:Security 产品:Security Response 组件:vulnerability 硬件:All 操作系统:Linux QA联系人:未指定 文档联系人:未指定 URL:未指定 白名单:未指定 依赖项:未指定 阻塞项:未指定 TreeView:depends on / blocked 附件 附件列表:未指定 备注 备注:需要登录才能在此漏洞上发表评论或进行更改。 总结 该漏洞是一个路径遍历漏洞,存在于KubeVirt的virt-exportserver组件中,允许攻击者读取导出目录外的任意文件。受影响系统为使用KubeVirt的Linux系统,严重程度和优先级均为高。目前尚未指定修复方案和版本。