CVE-2026-46076: Luka w jądrze Linux dotycząca obsługi VMMCALL w KVM nSVM

Wysokie ryzyko w jądrze Linux KVM nSVM związane z nieobsłużonym VMMCALL. Zalecane aktualizacje i monitorowanie środowisk wirtualnych.
CVE-2026-46076CVSS 7.9Linux

CVE-2026-46076: Luka w jądrze Linux dotycząca obsługi VMMCALL w KVM nSVM

Wysokie ryzyko w jądrze Linux KVM nSVM związane z nieobsłużonym VMMCALL. Zalecane aktualizacje i monitorowanie środowisk wirtualnych.

CVSS
7.9 HIGH
EPSS
2.25%
Aktywnie wykorzystywana
brak w KEV
Produkt
linux kernel

Co wiadomo

W jądrze Linux załatano lukę w KVM nSVM, gdzie nieobsłużone wywołanie VMMCALL nie było poprawnie przechwytywane przez L1, co mogło pozwolić L2 na wykonywanie hiperwywołań jak L1. Luka ta została naprawiona przez wymuszenie błędu #UD, gdy VMMCALL nie jest przechwycony zgodnie z architekturą.

Wpływ biznesowy

Ta luka o wysokim poziomie zagrożenia (CVSS 7.9) może prowadzić do nieautoryzowanego wykonywania hiperwywołań na poziomie L2, co stwarza ryzyko eskalacji uprawnień lub naruszenia izolacji maszyn wirtualnych. Operatorzy systemów korzystających z KVM i nSVM powinni zwrócić uwagę na aktualizacje jądra, aby zabezpieczyć środowiska wirtualne przed potencjalnymi atakami.

Rekomendowane działania administratora

Zaleca się jak najszybsze sprawdzenie dostępności aktualizacji jądra Linux u dostawcy i ich wdrożenie. W międzyczasie warto ograniczyć ekspozycję maszyn wirtualnych korzystających z KVM nSVM, monitorować logi systemowe pod kątem nietypowych wywołań VMMCALL oraz priorytetyzować działania zabezpieczające w środowiskach wirtualizacyjnych.

Źródła