LOWCVE-2019-10183CVSS 3.2

用于配置新虚拟机的 Virt-install(1) 实用程序引入了一个 '--unattended' 选项，用于在没有用户交互的情况下创建虚拟机。此选项接受来宾虚拟机密码作为命令行参数

Q: 我是否受到 CVE-2019-10183 在 virt-install 中影响?

如果您正在使用 virt-manager v2.2.0 及 virt-install 2.2.0，则可能受到影响。

平台

linux

组件

virt-install

修复版本

2.2.1

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年5月

在NVD查看

保存

CVE-2019-10183 影响 virt-install 工具，该工具用于配置新的虚拟机。由于引入了 '--unattended' 选项，虚拟机密码作为命令行参数传递，导致潜在的密码泄露风险。此漏洞影响 virt-manager v2.2.0 及更高版本中使用的 virt-install 2.2.0 版本。已发布补丁，建议升级至 2.2.1 版本。

影响与攻击场景

攻击者可以通过进程列表查看虚拟机密码，从而未经授权访问虚拟机。这可能导致数据泄露、恶意软件部署或系统控制权被盗。虽然 CVSS 评分为低危，但由于虚拟机通常包含敏感数据，因此该漏洞的潜在影响不容忽视。如果虚拟机用于存储或处理机密信息，则该漏洞的风险会显著增加。攻击者可能利用此漏洞进行横向移动，访问同一系统上的其他虚拟机或服务。

利用背景

该漏洞已公开披露，并存在潜在的利用风险。目前尚未观察到大规模的利用活动，但由于漏洞的易利用性，建议尽快采取缓解措施。该漏洞尚未被添加到 CISA KEV 目录中。公开的 PoC 尚未发现，但由于漏洞的性质，预计未来可能会出现。

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露低

EPSS

0.14% (34% 百分位)

CVSS 向量

受影响的软件

组件virt-install

供应商Red Hat

影响范围修复版本

from virt-manager v2.2.0 – from virt-manager v2.2.02.2.1

弱点分类 (CWE)

CWE-200

时间线

已保留2019-03-27
发布日期2019-07-03
修改日期2024-08-04
EPSS 更新日期2026-04-02

缓解措施和替代方案

最有效的缓解措施是升级 virt-install 至 2.2.1 或更高版本。如果无法立即升级，可以考虑限制对 virt-install 的访问权限，仅允许授权用户使用该工具。此外，应避免在命令行中传递密码，而是使用更安全的身份验证方法，例如 SSH 密钥。监控系统进程列表，查找可疑活动，并定期审查虚拟机配置，以确保其安全性。

修复方法

避免在命令行中直接使用 '--unattended' 选项和密码。如果需要自动化虚拟机创建，请使用更安全的方法来提供密码，例如环境变量或具有受限权限的配置文件。如果可用，请更新到修复此问题的 virt-manager 的更高版本。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2019-10183 — 密码泄露漏洞在 virt-install 中?

CVE-2019-10183 是 virt-install 2.2.0 版本中存在的漏洞，允许攻击者通过进程列表获取虚拟机密码。

我是否受到 CVE-2019-10183 在 virt-install 中影响?

如果您正在使用 virt-manager v2.2.0 及 virt-install 2.2.0，则可能受到影响。

如何修复 CVE-2019-10183 在 virt-install 中?

升级 virt-install 至 2.2.1 或更高版本以修复此漏洞。

CVE-2019-10183 是否正在被积极利用?

目前尚未观察到大规模的利用活动，但建议尽快采取缓解措施。

在哪里可以找到 virt-install 的官方 CVE-2019-10183 漏洞公告?

请访问 Red Hat 官方安全公告：https://access.redhat.com/security/cve/CVE-2019-10183