Vulnerabilities ›

CVE-2026-9804

High

CWE-59 — Weakness Type

                    Published: May 28, 2026                      ·  Modified: Jun 4, 2026                      ·  Source: NVD                

CVSS v3

7.7

🔗 NVD Official

📄 Description (English)

A flaw was found in KubeVirt's virt-exportserver component. An attacker with specific namespace-level access can exploit a path traversal vulnerability in the VMExport directory endpoint. By placing a symbolic link (symlink) within an exported filesystem Persistent Volume Claim (PVC) that points outside its designated mount root, the attacker can read arbitrary files from the exporter pod's filesystem. This leads to information disclosure, potentially exposing sensitive data.

🤖 AI Executive Summary

A path traversal vulnerability in KubeVirt's virt-exportserver allows attackers with namespace access to read arbitrary files through symbolic links in exported PVCs. This vulnerability can lead to exposure of sensitive data from the exporter pod's filesystem.

📄 Description (Arabic)

تم اكتشاف ثغرة اجتياز مسار في مكون virt-exportserver في KubeVirt تسمح للمهاجمين الذين لديهم وصول على مستوى Namespace باستغلال الروابط الرمزية للوصول إلى ملفات عشوائية. يمكن لهذه الثغرة أن تؤدي إلى الكشف عن البيانات الحساسة من نظام ملفات pod المُصدِّر.

🤖 ملخص تنفيذي (AI)

🤖 AI Intelligence Analysis Analyzed: Jun 2, 2026 12:16

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

telecom government healthcare banking energy

🎯 MITRE ATT&CK Techniques

T1083 T1552 T1526

⚖️ Saudi Risk Score (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Update KubeVirt to the latest patched version immediately. Implement strict RBAC policies to limit namespace-level access. Monitor and validate PVC contents before export. Disable symbolic link following in export operations if possible. Implement file access controls and audit logging for export operations.

🔧 خطوات المعالجة (العربية)

قم بتحديث KubeVirt إلى أحدث إصدار مصحح فوراً. طبق سياسات RBAC صارمة لتحديد الوصول على مستوى Namespace. راقب والتحقق من محتويات PVC قبل التصدير. عطل متابعة الروابط الرمزية في عمليات التصدير إن أمكن. طبق عناصر تحكم الوصول إلى الملفات وتسجيل التدقيق لعمليات التصدير.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

A.8.1 A.8.2 A.9.1 A.9.2 A.12.4

🔵 SAMA CSF

ID.RA-1 PR.AC-1 PR.AC-3 DE.CM-1

🟡 ISO 27001:2022

A.6.1.1 A.9.1.1 A.9.2.1 A.12.4.1 A.14.2.1

🔗 References & Sources 2

🔗

https://access.redhat.com/security/cve/CVE-2026-9804

secalert@redhat.com

🔗

https://bugzilla.redhat.com/show_bug.cgi?id=2482487

secalert@redhat.com

📊 CVSS Score

7.7

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeC — Changed

ConfidentialityH — High

IntegrityN — None / Network

AvailabilityN — None / Network

📋 Quick Facts

Severity High

CVSS Score7.7

CWECWE-59

EPSS0.03%

Exploit No

Patch ✗ No

Published 2026-05-28

Source Feed nvd

🇸🇦 Saudi Risk Score

7.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-59

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-9804

Introduce Yourself

Sign In Required