漏洞概述 漏洞编号: CVE-2026-13434 漏洞名称: Bug 2493576 描述: 在Kubevirt中,当 功能门控启用时,租户提供的 在VM规范中写入到启动器pod的 注解中时没有进行输入验证。当 Beta功能门控启用(默认关闭)时,不会执行NAD查找来捕获格式错误的值,攻击者可以注入一个3000格式化的 数组,将任意网络附件附加到任何命名空间中的pod,使用攻击者控制的IP和MAC地址。这允许跨命名空间网络访问和服务冒充。 漏洞路径: 该漏洞代码路径随 功能门控在Kubevirt v1.0.0中引入,首次出现在OpenShift Virtualization 4.21中。 影响范围 受影响产品: Kubevirt 受影响版本: OpenShift Virtualization 4.21及更高版本 功能门控: Beta功能门控 修复方案 当前状态: 未修复 修复版本: 未指定 环境: 未指定 最后关闭: 未指定 已发布: 未指定 其他信息 报告日期: 2026-06-26 15:15 UTC by OSDB Ezreport 修改日期: 2026-06-26 15:54 UTC (History) CC列表: 5 users (show) 组件: vulnerability 优先级: medium 严重性: medium 目标里程碑: --- 分配给: Product Security QA联系人: --- 文档联系人: --- URL: --- 白名单: --- 依赖项: --- 阻塞项: --- 树视图: depends on / blocked 附件 OSDB Ezreport: 2026-06-26 15:15:32 UTC 备注 需要登录才能在此bug上发表评论或进行更改。