文章总结: QEMU的CXLType-3设备仿真模块存在名为QEMUtiny的漏洞链,具备Guest系统Root权限的攻击者可利用越界读泄露宿主机内存地址,再通过越界写劫持程序执行流,实现虚拟机逃逸并控制底层物理机。该漏洞仅影响启用CXL支持的QEMU实例,建议检查启动参数移除CXL相关配置、避免向不可信Guest暴露该设备,或临时禁用仿真功能。 综合评分: 84 文章分类: 漏洞分析,云安全,应急响应,漏洞预警
QEMU曝虚拟机逃逸漏洞,可直接控制底层物理机
原创
网空闲话 网空闲话
网空闲话plus
2026年5月16日 15:37 北京
在小说阅读器读本章
去阅读
QEMU CXL Type-3设备仿真模块被曝出名为“QEMUtiny”的漏洞链。具备 Guest系统Root权限的攻击者,可利用该漏洞实现虚拟机逃逸,获取宿主机进程甚至宿主机Root权限,风险较高(暂无 CVE 编号)。
漏洞原理
该漏洞链源于 CXL mailbox 逻辑(hw/cxl/cxl-mailbox-utils.c)中的两个致命缺陷:
-
越界读(GET_LOG):指针运算错误,导致泄露宿主机内存地址。
-
越界写(SET_FEATURE):边界检查缺失,允许破坏设备对象字段,进而劫持程序执行流。
影响范围
仅影响启用了 CXL 支持(启动参数含 cxl=on、cxl-type3等)且向 Guest 暴露了该设备的 QEMU 实例。普通 QEMU 虚拟机及物理 CXL 硬件不受影响。
安全建议
-
排查参数:检查 QEMU 启动配置,移除不必要的 CXL 相关参数。
-
切断暴露:严禁向不可信的 Guest 虚拟机暴露 CXL Type-3 设备。
-
隔离降险:临时禁用该仿真功能,或仅在严格隔离的测试环境中使用。
初步分析表明,该漏洞可使已获取Guest 系统Root权限的攻击者,利用CXL仿真模块的越界读泄露宿主机内存地址,再通过越界写劫持程序执行流,最终实现虚拟机逃逸并直接控制底层物理机(获取宿主机进程甚至Root权限)。攻击成功后,可读取宿主机敏感数据、植入后门或横向渗透。危害程度高,但仅影响启用了 CXL Type-3设备暴露的特定QEMU实例。
—— LoopDNS 、 GitHub
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:网空闲话plus 网空闲话 网空闲话《QEMU曝虚拟机逃逸漏洞,可直接控制底层物理机》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论