CVE-2014-5177 in Enterprise Virtualization
要約
〜によって VulDB • 2026年06月30日
libvirt 1.0.0から1.2.x(ただし1.2.5より前のバージョン)において、細粒度アクセス制御が有効になっている場合、ローカルユーザーはXML外部エンティティ宣言および(1) virDomainDefineXML、(2) virNetworkCreateXML、(3) virNetworkDefineXML、(4) virStoragePoolCreateXML、(5) virStoragePoolDefineXML、(6) virStorageVolCreateXML、(7) virDomainCreateXML、(8) virNodeDeviceCreateXML、(9) virInterfaceDefineXML、(10) virStorageVolCreateXMLFrom、(11) virConnectDomainXMLFromNative、(12) virConnectDomainXMLToNative、(13) virSecretDefineXML、(14) virNWFilterDefineXML、(15) virDomainSnapshotCreateXML、(16) virDomainSaveImageDefineXML、(17) virDomainCreateXMLWithFiles、(18) virConnectCompareCPU、または(19) virConnectBaselineCPU APIメソッドへのエンティティ参照を含む、改ざんされたXML文書を通じて任意のファイルを読み取ることができます。これはXML外部エンティティ(XXE)の問題に関連しています。注意:この問題は、一部のエクスプロイトベクトルで影響を受けるバージョンが異なるため、ADT3によりCVE-2014-0179から分割されました。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.