Plataforma
go
Componente
kubevirt.io/kubevirt
Corregido en
1.5.1
1.7.0
La vulnerabilidad CVE-2025-64436 es una falla de Ejecución Remota de Código (RCE) presente en kubevirt.io/kubevirt. Esta falla permite a un atacante, aprovechando los permisos otorgados a la cuenta de servicio virt-handler, forzar la migración de una Máquina Virtual Intermedia (VMI) a un nodo bajo su control. La vulnerabilidad afecta a versiones anteriores a 1.7.0 y ha sido mitigada con la introducción de una política de admisión de validación que restringe las modificaciones a los recursos del nodo.
Un atacante que explote esta vulnerabilidad podría obtener control sobre una VMI, permitiéndole ejecutar código arbitrario dentro de la máquina virtual y potencialmente acceder a datos sensibles. La capacidad de forzar la migración a un nodo controlado por el atacante amplía significativamente el impacto, permitiendo el acceso a recursos de red adicionales y la posibilidad de movimiento lateral dentro del clúster de Kubernetes. Esto podría resultar en la exfiltración de datos, la interrupción del servicio o incluso el compromiso completo del clúster. La vulnerabilidad se basa en la capacidad de modificar la configuración del nodo, similar a ataques que explotan configuraciones incorrectas en entornos de virtualización.
La vulnerabilidad fue descubierta y reportada a través de GitHub en marzo de 2023. La publicación del CVE se realizó el 6 de noviembre de 2025. No se ha confirmado la explotación activa de esta vulnerabilidad en entornos de producción, pero la naturaleza de la falla (RCE) y la disponibilidad de la información técnica la convierten en un objetivo potencial. La probabilidad de explotación se considera media debido a la complejidad de la configuración de Kubernetes y la necesidad de un conocimiento profundo del funcionamiento interno de kubevirt.io/kubevirt.
Kubernetes clusters utilizing Kubevirt for virtual machine management are at risk. This includes organizations deploying virtualized workloads in production environments, particularly those using older Kubevirt versions prior to 1.7.0. Shared Kubernetes hosting environments where multiple users share the same cluster are also at increased risk.
• linux / server:
journalctl -u kubevirt-operator -g 'virt-handler' | grep -i 'error' -i 'warning'• generic web:
curl -I <kubevirt_api_endpoint>Inspect response headers for unusual configurations or unauthorized access attempts. • platform: Examine Kubevirt's admission policies for any deviations from the recommended configurations.
disclosure
public
Estado del Exploit
EPSS
0.07% (22% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar a la versión 1.7.0 de kubevirt.io/kubevirt, que incluye la política de admisión de validación que mitiga la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar políticas de admisión restrictivas que limiten las modificaciones que la cuenta de servicio virt-handler puede realizar en los recursos del nodo. Específicamente, se debe asegurar que la sección spec de los nodos sea inmutable. Además, se debe revisar y auditar los permisos otorgados a la cuenta de servicio virt-handler para garantizar que solo tengan los privilegios mínimos necesarios. Después de la actualización, confirme que la política de admisión está correctamente implementada verificando los logs de auditoría de Kubernetes.
Actualice KubeVirt a una versión posterior a 1.5.0 que contenga las correcciones de seguridad. Revise y ajuste los permisos de la cuenta de servicio virt-handler para limitar la capacidad de actualizar VMIs y parchar nodos, siguiendo el principio de mínimo privilegio. Consulte el advisory GHSA-7xgm-5prm-v5gc para obtener más detalles y posibles mitigaciones.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-64436 is a vulnerability in Kubevirt allowing an attacker to potentially force a VMI migration to a controlled node due to excessive permissions granted to the virt-handler service account.
You are affected if you are running Kubevirt versions prior to 1.7.0 and have not implemented mitigating controls.
Upgrade Kubevirt to version 1.7.0 or later. If immediate upgrade is not possible, implement a ValidatingAdmissionPolicy to restrict node resource modifications.
While no active exploitation has been publicly confirmed, the potential for VMI migration control presents a significant risk and warrants monitoring.
Refer to the GitHub security advisory published on March 23, 2023: https://github.com/kubevirt/kubevirt/security/advisories/GHSA-cp96-jpmq-xrr2
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.