CVE-2014-5177 in Enterprise Virtualization
Сводка
по VulDB • 17.05.2026
В libvirt версий от 1.0.0 до 1.2.x (включительно) до версии 1.2.5 при включенном тонкогранулярном контроле доступа локальные пользователи могут читать произвольные файлы с помощью специально созданного XML-документа, содержащего объявление внешней сущности XML (XXE) в сочетании со ссылкой на сущность, через следующие API-методы: (1) virDomainDefineXML, (2) virNetworkCreateXML, (3) virNetworkDefineXML, (4) virStoragePoolCreateXML, (5) virStoragePoolDefineXML, (6) virStorageVolCreateXML, (7) virDomainCreateXML, (8) virNodeDeviceCreateXML, (9) virInterfaceDefineXML, (10) virStorageVolCreateXMLFrom, (11) virConnectDomainXMLFromNative, (12) virConnectDomainXMLToNative, (13) virSecretDefineXML, (14) virNWFilterDefineXML, (15) virDomainSnapshotCreateXML, (16) virDomainSaveImageDefineXML, (17) virDomainCreateXMLWithFiles, (18) virConnectCompareCPU или (19) virConnectBaselineCPU. Проблема связана с уязвимостью XML External Entity (XXE). ПРИМЕЧАНИЕ: данная проблема была ОТДЕЛЕНА от CVE-2014-0179 согласно ADT3 из-за различий в затронутых версиях некоторых векторов атаки.
If you want to get best quality of vulnerability data, you may have to visit VulDB.