The Bitdefender Napoca bare-metal hypervisor contains an out-of-bounds write vulnerability in the real-mode hook handler, implemented in napoca/kernel/handler.c. The handler uses a guest-controlled SS:SP-derived offset as an index into the 1MB RealModeMemory buffer without bounds validation. With SS=0xFFFF and ESP=0xFFFF, the computed offset can reach 0x10FFEF, exceeding the RealModeMemory buffer by 65,519 bytes. The IRET frame push can therefore write past the end of the buffer into the hypervisor heap. The product is end-of-life and unsupported when assigned.
CVE-2026-10047 is a critical out-of-bounds write vulnerability in the end-of-life Bitdefender Napoca bare-metal hypervisor that allows guest VMs to write beyond allocated buffer boundaries into hypervisor heap memory. With no patch available and the product unsupported, organizations using Napoca face severe risks including hypervisor compromise, VM escape, and complete infrastructure takeover. Immediate migration away from Napoca is essential for any Saudi organization still deploying this hypervisor.
IMMEDIATE ACTIONS:
1. Conduct urgent inventory of all Bitdefender Napoca deployments across your infrastructure
2. Isolate any systems running Napoca from production networks if possible
3. Implement network segmentation to restrict guest VM communication
4. Enable hypervisor-level monitoring and logging for suspicious memory access patterns
MITIGATION (No patch available):
5. Disable real-mode operations if supported by your workloads
6. Restrict guest VM privilege levels and disable direct hardware access
7. Implement strict input validation at hypervisor entry points
8. Deploy host-based intrusion detection on hypervisor systems
LONG-TERM REMEDIATION:
9. Develop migration plan to supported hypervisors (KVM, Hyper-V, VMware ESXi)
10. Prioritize migration of security-critical and data-sensitive workloads
11. Conduct full security audit of all VMs that ran on Napoca for compromise indicators
12. Implement enhanced monitoring during transition period
DETECTION RULES:
- Monitor for SS register values set to 0xFFFF in guest context switches
- Alert on heap corruption patterns or unexpected memory writes from hypervisor
- Track guest VM attempts to access memory beyond allocated regions
- Monitor for unusual IRET instruction sequences in real-mode handlers
الإجراءات الفورية:
1. إجراء جرد عاجل لجميع نشرات Bitdefender Napoca عبر البنية التحتية الخاصة بك
2. عزل أي أنظمة تعمل بـ Napoca عن شبكات الإنتاج إن أمكن
3. تنفيذ تقسيم الشبكة لتقييد اتصالات الأجهزة الافتراضية الضيفة
4. تفعيل المراقبة والتسجيل على مستوى المراقب الفائق للأنماط المريبة
التخفيف (لا يوجد تصحيح متاح):
5. تعطيل عمليات الوضع الحقيقي إذا كانت مدعومة من قبل أحمالك
6. تقييد مستويات امتياز الأجهزة الافتراضية الضيفة وتعطيل الوصول المباشر للأجهزة
7. تنفيذ التحقق الصارم من المدخلات عند نقاط دخول المراقب الفائق
8. نشر كشف التطفل على مستوى المضيف على أنظمة المراقب الفائق
العلاج طويل الأجل:
9. تطوير خطة الهجرة إلى المراقبين الفائقين المدعومين
10. أولويات الهجرة للأحمال الحساسة والحساسة للبيانات
11. إجراء تدقيق أمني شامل لجميع الأجهزة الافتراضية التي عملت على Napoca
12. تنفيذ المراقبة المحسنة خلال فترة الانتقال