Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad que afecta a QEMU, que permitiría a un atacante remoto ejecución de código en el host del sistema afectado.
La vulnerabilidad identificada como CVE-2022-36648, de severidad “Crítica” y con una puntuación asignada de 10.0. Esta vulnerabilidad se debe a una falla de emulación hardware en la función of_dpa_cmd_add_l2_flood del componente rocker device model en QEMU. Esto permitiría a un atacante remoto a través de la ejecución de un programa malicioso dentro de una máquina virtual, provocar denegación de servicios (DoS) y potencialmente ejecución de código en el host del sistema operativo afectado.
El producto afectado es:
- QEMU, versión 7.0.0 y anteriores.
Recomendamos instalar las actualizaciones correspondientes provistas por fabricante en el siguiente enlace:
Referencias: