DEBIAN-CVE-2019-12928

See a problem?
Please try reporting it to the source first.
Source
https://security-tracker.debian.org/tracker/CVE-2019-12928
Import Source
https://storage.googleapis.com/debian-osv/debian-cve-osv/DEBIAN-CVE-2019-12928.json
JSON Data
https://api.osv.dev/v1/vulns/DEBIAN-CVE-2019-12928
Upstream
Published
2019-06-24T11:15:09.367Z
Modified
2026-03-17T02:45:47.058421Z
Severity
  • 9.8 (Critical) CVSS_V3 - CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS Calculator
Summary
[none]
Details

The QMP migrate command in QEMU version 4.0.0 and earlier is vulnerable to OS command injection, which allows the remote attacker to achieve code execution, denial of service, or information disclosure by sending a crafted QMP command to the listening server. Note: This has been disputed as a non-issue since QEMU's -qmp interface is meant to be used by trusted users. If one is able to access this interface via a tcp socket open to the internet, then it is an insecure configuration issue

References

Affected packages

Debian:11 / qemu

Package

Name
qemu
Purl
pkg:deb/debian/qemu?arch=source

Affected ranges

Type
ECOSYSTEM
Events
Introduced
0Unknown introduced version / All previous versions are affected

Affected versions

1:5.*
1:5.2+dfsg-11
1:5.2+dfsg-11+deb11u1
1:5.2+dfsg-11+deb11u2
1:5.2+dfsg-11+deb11u3
1:5.2+dfsg-11+deb11u4
1:5.2+dfsg-11+deb11u5
1:6.*
1:6.0+dfsg-1~exp0
1:6.0+dfsg-2exp
1:6.0+dfsg-3
1:6.0+dfsg-4
1:6.1+dfsg-1
1:6.1+dfsg-2
1:6.1+dfsg-3
1:6.1+dfsg-4
1:6.1+dfsg-5
1:6.1+dfsg-6~bpo11+1
1:6.1+dfsg-6
1:6.1+dfsg-7
1:6.1+dfsg-8
1:6.2+dfsg-1
1:6.2+dfsg-2~bpo11+1
1:6.2+dfsg-2
1:6.2+dfsg-3
1:7.*
1:7.0~rc4+dfsg-1
1:7.0+dfsg-1
1:7.0+dfsg-2~bpo11+1
1:7.0+dfsg-2~bpo11+2
1:7.0+dfsg-2
1:7.0+dfsg-3
1:7.0+dfsg-4
1:7.0+dfsg-5
1:7.0+dfsg-6
1:7.0+dfsg-7
1:7.1+dfsg-1
1:7.1+dfsg-2~bpo11+1
1:7.1+dfsg-2~bpo11+2
1:7.1+dfsg-2~bpo11+3
1:7.1+dfsg-2
1:7.2+dfsg-1~bpo11+1
1:7.2+dfsg-1~bpo11+2
1:7.2+dfsg-1
1:7.2+dfsg-2~bpo11+1
1:7.2+dfsg-2
1:7.2+dfsg-3~bpo11+1
1:7.2+dfsg-3
1:7.2+dfsg-4
1:7.2+dfsg-5~bpo11+1
1:7.2+dfsg-5
1:7.2+dfsg-6
1:7.2+dfsg-7~bpo11+1
1:7.2+dfsg-7
1:8.*
1:8.0~rc2+dfsg-1
1:8.0~rc3+dfsg-1
1:8.0~rc3+dfsg-2
1:8.0~rc4+dfsg-1
1:8.0~rc4+dfsg-2
1:8.0+dfsg-1
1:8.0+dfsg-2
1:8.0+dfsg-3
1:8.0+dfsg-4
1:8.0.2+dfsg-1
1:8.0.2+dfsg-2
1:8.0.2+dfsg-3
1:8.0.3+dfsg-1~bpo12+1
1:8.0.3+dfsg-1
1:8.0.3+dfsg-2
1:8.0.3+dfsg-3
1:8.0.3+dfsg-4
1:8.0.3+dfsg-5
1:8.0.4+dfsg-1~bpo12+1
1:8.0.4+dfsg-1
1:8.0.4+dfsg-2
1:8.0.4+dfsg-3
1:8.1.0~rc2+dfsg-1
1:8.1.0~rc3+dfsg-1
1:8.1.0~rc3+dfsg-2
1:8.1.0~rc4+ds-1
1:8.1.0~rc4+ds-2
1:8.1.0~rc4+ds-3
1:8.1.0~rc4+ds-4
1:8.1.0+ds-1~exp1
1:8.1.0+ds-1~exp2
1:8.1.0+ds-1
1:8.1.0+ds-2
1:8.1.0+ds-3
1:8.1.0+ds-4
1:8.1.0+ds-5
1:8.1.0+ds-6
1:8.1.1+ds-1
1:8.1.1+ds-2~bpo12+1
1:8.1.1+ds-2
1:8.1.2+ds-1~bpo12+1
1:8.1.2+ds-1
1:8.1.3+ds-1
1:8.2.0~rc0+ds-1
1:8.2.0~rc1+ds-1
1:8.2.0~rc2+ds-1
1:8.2.0+ds-1
1:8.2.0+ds-2
1:8.2.0+ds-3
1:8.2.0+ds-4
1:8.2.0+ds-5~bpo12+1
1:8.2.0+ds-5
1:8.2.1+ds-1~bpo12+1
1:8.2.1+ds-1
1:8.2.1+ds-2
1:8.2.2+ds-1
1:8.2.2+ds-2
1:8.2.3+ds-1
1:8.2.3+ds-2
1:8.2.4+ds-1
1:8.2.4+ds-2
1:8.2.5+ds-1
1:8.2.5+ds-2
1:9.*
1:9.0.0~rc0+ds-1
1:9.0.0~rc0+ds-2
1:9.0.0~rc2+ds-1
1:9.0.1+ds-1~bpo12+1
1:9.0.1+ds-1
1:9.0.2+ds-1~bpo12+1
1:9.0.2+ds-1
1:9.0.2+ds-2
1:9.0.2+ds-3
1:9.0.2+ds-4
1:9.0.2+ds-5
1:9.0.2+ds-6
1:9.0.2+ds-7
1:9.1.0~rc0+ds-1
1:9.1.0~rc0+ds-2
1:9.1.0~rc0+ds-3
1:9.1.0+ds-1
1:9.1.0+ds-2
1:9.1.0+ds-3
1:9.1.0+ds-4
1:9.1.0+ds-5
1:9.1.0+ds-6
1:9.1.0+ds-7
1:9.1.0+ds-8
1:9.1.0+ds-9~exp0
1:9.1.1+ds-1
1:9.1.1+ds-2~bpo12+1
1:9.1.1+ds-2
1:9.1.1+ds-3
1:9.1.1+ds-4
1:9.1.1+ds-5
1:9.1.2+ds-1~bpo12+1
1:9.1.2+ds-1
1:9.2.0~rc0+ds-1
1:9.2.0~rc3+ds-1
1:9.2.0+ds-1~exp1
1:9.2.0+ds-1
1:9.2.0+ds-2
1:9.2.0+ds-3~bpo12+1
1:9.2.0+ds-3~bpo12+2
1:9.2.0+ds-3
1:9.2.0+ds-4
1:9.2.0+ds-5
1:9.2.1+ds-1
1:9.2.2+ds-1~bpo12+1
1:9.2.2+ds-1
1:10.*
1:10.0.0~rc0+ds-1
1:10.0.0~rc0+ds-2
1:10.0.0~rc1+ds-1
1:10.0.0~rc1+ds-2
1:10.0.0~rc2+ds-1
1:10.0.0~rc2+ds-2
1:10.0.0~rc3+ds-1
1:10.0.0~rc3+ds-2
1:10.0.0+ds-1
1:10.0.0+ds-2~bpo12+1
1:10.0.0+ds-2~bpo12+2
1:10.0.0+ds-2
1:10.0.2+ds-1
1:10.0.2+ds-2~bpo12+1
1:10.0.2+ds-2
1:10.0.3+ds-1
1:10.0.3+ds-2
1:10.0.3+ds-3
1:10.0.3+ds-4
1:10.1.0~rc0+ds-1
1:10.1.0~rc0+ds-2
1:10.1.0~rc0+ds-3
1:10.1.0~rc0+ds-4
1:10.1.0~rc1+ds-1
1:10.1.0~rc1+ds-1a
1:10.1.0~rc1+ds-1b
1:10.1.0~rc1+ds-2
1:10.1.0~rc1+ds-3
1:10.1.0~rc2+ds-1
1:10.1.0~rc3+ds-1
1:10.1.0~rc3+ds-2
1:10.1.0+ds-1
1:10.1.0+ds-2
1:10.1.0+ds-3
1:10.1.0+ds-4
1:10.1.0+ds-5
1:10.1.1+ds-1
1:10.1.2+ds-1
1:10.1.2+ds-2
1:10.1.2+ds-3
1:10.1.3+ds-1
1:10.2.0~rc1+ds-1
1:10.2.0+ds-1
1:10.2.0+ds-2
1:10.2.1+ds-1

Ecosystem specific 

{
    "urgency": "unimportant"
}

Database specific

source 
"https://storage.googleapis.com/debian-osv/debian-cve-osv/DEBIAN-CVE-2019-12928.json"

Debian:12 / qemu

Package

Name
qemu
Purl
pkg:deb/debian/qemu?arch=source

Affected ranges

Type
ECOSYSTEM
Events
Introduced
0Unknown introduced version / All previous versions are affected

Affected versions

1:7.*
1:7.2+dfsg-7
1:7.2+dfsg-7+deb12u1
1:7.2+dfsg-7+deb12u2~bpo11+1
1:7.2+dfsg-7+deb12u2
1:7.2+dfsg-7+deb12u3
1:7.2+dfsg-7+deb12u4
1:7.2+dfsg-7+deb12u5
1:7.2+dfsg-7+deb12u6
1:7.2+dfsg-7+deb12u7
1:7.2+dfsg-7+deb12u8
1:7.2+dfsg-7+deb12u9
1:7.2+dfsg-7+deb12u10
1:7.2+dfsg-7+deb12u11
1:7.2+dfsg-7+deb12u12
1:7.2+dfsg-7+deb12u13
1:7.2+dfsg-7+deb12u14
1:7.2+dfsg-7+deb12u15
1:7.2+dfsg-7+deb12u16
1:7.2+dfsg-7+deb12u17
1:7.2+dfsg-7+deb12u18
1:8.*
1:8.0~rc2+dfsg-1
1:8.0~rc3+dfsg-1
1:8.0~rc3+dfsg-2
1:8.0~rc4+dfsg-1
1:8.0~rc4+dfsg-2
1:8.0+dfsg-1
1:8.0+dfsg-2
1:8.0+dfsg-3
1:8.0+dfsg-4
1:8.0.2+dfsg-1
1:8.0.2+dfsg-2
1:8.0.2+dfsg-3
1:8.0.3+dfsg-1~bpo12+1
1:8.0.3+dfsg-1
1:8.0.3+dfsg-2
1:8.0.3+dfsg-3
1:8.0.3+dfsg-4
1:8.0.3+dfsg-5
1:8.0.4+dfsg-1~bpo12+1
1:8.0.4+dfsg-1
1:8.0.4+dfsg-2
1:8.0.4+dfsg-3
1:8.1.0~rc2+dfsg-1
1:8.1.0~rc3+dfsg-1
1:8.1.0~rc3+dfsg-2
1:8.1.0~rc4+ds-1
1:8.1.0~rc4+ds-2
1:8.1.0~rc4+ds-3
1:8.1.0~rc4+ds-4
1:8.1.0+ds-1~exp1
1:8.1.0+ds-1~exp2
1:8.1.0+ds-1
1:8.1.0+ds-2
1:8.1.0+ds-3
1:8.1.0+ds-4
1:8.1.0+ds-5
1:8.1.0+ds-6
1:8.1.1+ds-1
1:8.1.1+ds-2~bpo12+1
1:8.1.1+ds-2
1:8.1.2+ds-1~bpo12+1
1:8.1.2+ds-1
1:8.1.3+ds-1
1:8.2.0~rc0+ds-1
1:8.2.0~rc1+ds-1
1:8.2.0~rc2+ds-1
1:8.2.0+ds-1
1:8.2.0+ds-2
1:8.2.0+ds-3
1:8.2.0+ds-4
1:8.2.0+ds-5~bpo12+1
1:8.2.0+ds-5
1:8.2.1+ds-1~bpo12+1
1:8.2.1+ds-1
1:8.2.1+ds-2
1:8.2.2+ds-1
1:8.2.2+ds-2
1:8.2.3+ds-1
1:8.2.3+ds-2
1:8.2.4+ds-1
1:8.2.4+ds-2
1:8.2.5+ds-1
1:8.2.5+ds-2
1:9.*
1:9.0.0~rc0+ds-1
1:9.0.0~rc0+ds-2
1:9.0.0~rc2+ds-1
1:9.0.1+ds-1~bpo12+1
1:9.0.1+ds-1
1:9.0.2+ds-1~bpo12+1
1:9.0.2+ds-1
1:9.0.2+ds-2
1:9.0.2+ds-3
1:9.0.2+ds-4
1:9.0.2+ds-5
1:9.0.2+ds-6
1:9.0.2+ds-7
1:9.1.0~rc0+ds-1
1:9.1.0~rc0+ds-2
1:9.1.0~rc0+ds-3
1:9.1.0+ds-1
1:9.1.0+ds-2
1:9.1.0+ds-3
1:9.1.0+ds-4
1:9.1.0+ds-5
1:9.1.0+ds-6
1:9.1.0+ds-7
1:9.1.0+ds-8
1:9.1.0+ds-9~exp0
1:9.1.1+ds-1
1:9.1.1+ds-2~bpo12+1
1:9.1.1+ds-2
1:9.1.1+ds-3
1:9.1.1+ds-4
1:9.1.1+ds-5
1:9.1.2+ds-1~bpo12+1
1:9.1.2+ds-1
1:9.2.0~rc0+ds-1
1:9.2.0~rc3+ds-1
1:9.2.0+ds-1~exp1
1:9.2.0+ds-1
1:9.2.0+ds-2
1:9.2.0+ds-3~bpo12+1
1:9.2.0+ds-3~bpo12+2
1:9.2.0+ds-3
1:9.2.0+ds-4
1:9.2.0+ds-5
1:9.2.1+ds-1
1:9.2.2+ds-1~bpo12+1
1:9.2.2+ds-1
1:10.*
1:10.0.0~rc0+ds-1
1:10.0.0~rc0+ds-2
1:10.0.0~rc1+ds-1
1:10.0.0~rc1+ds-2
1:10.0.0~rc2+ds-1
1:10.0.0~rc2+ds-2
1:10.0.0~rc3+ds-1
1:10.0.0~rc3+ds-2
1:10.0.0+ds-1
1:10.0.0+ds-2~bpo12+1
1:10.0.0+ds-2~bpo12+2
1:10.0.0+ds-2
1:10.0.2+ds-1
1:10.0.2+ds-2~bpo12+1
1:10.0.2+ds-2
1:10.0.3+ds-1
1:10.0.3+ds-2
1:10.0.3+ds-3
1:10.0.3+ds-4
1:10.1.0~rc0+ds-1
1:10.1.0~rc0+ds-2
1:10.1.0~rc0+ds-3
1:10.1.0~rc0+ds-4
1:10.1.0~rc1+ds-1
1:10.1.0~rc1+ds-1a
1:10.1.0~rc1+ds-1b
1:10.1.0~rc1+ds-2
1:10.1.0~rc1+ds-3
1:10.1.0~rc2+ds-1
1:10.1.0~rc3+ds-1
1:10.1.0~rc3+ds-2
1:10.1.0+ds-1
1:10.1.0+ds-2
1:10.1.0+ds-3
1:10.1.0+ds-4
1:10.1.0+ds-5
1:10.1.1+ds-1
1:10.1.2+ds-1
1:10.1.2+ds-2
1:10.1.2+ds-3
1:10.1.3+ds-1
1:10.2.0~rc1+ds-1
1:10.2.0+ds-1
1:10.2.0+ds-2
1:10.2.1+ds-1

Ecosystem specific 

{
    "urgency": "unimportant"
}

Database specific

source 
"https://storage.googleapis.com/debian-osv/debian-cve-osv/DEBIAN-CVE-2019-12928.json"

Debian:13 / qemu

Package

Name
qemu
Purl
pkg:deb/debian/qemu?arch=source

Affected ranges

Type
ECOSYSTEM
Events
Introduced
0Unknown introduced version / All previous versions are affected

Affected versions

1:10.*
1:10.0.2+ds-2
1:10.0.2+ds-2+deb13u1~bpo12+1
1:10.0.2+ds-2+deb13u1
1:10.0.3+ds-0+deb13u1
1:10.0.3+ds-1
1:10.0.3+ds-2
1:10.0.3+ds-3
1:10.0.3+ds-4
1:10.0.6+ds-0+deb13u1
1:10.0.6+ds-0+deb13u2
1:10.0.7+ds-0+deb13u1
1:10.0.8+ds-0+deb13u1
1:10.1.0~rc0+ds-1
1:10.1.0~rc0+ds-2
1:10.1.0~rc0+ds-3
1:10.1.0~rc0+ds-4
1:10.1.0~rc1+ds-1
1:10.1.0~rc1+ds-1a
1:10.1.0~rc1+ds-1b
1:10.1.0~rc1+ds-2
1:10.1.0~rc1+ds-3
1:10.1.0~rc2+ds-1
1:10.1.0~rc3+ds-1
1:10.1.0~rc3+ds-2
1:10.1.0+ds-1
1:10.1.0+ds-2
1:10.1.0+ds-3
1:10.1.0+ds-4
1:10.1.0+ds-5
1:10.1.1+ds-1
1:10.1.2+ds-1
1:10.1.2+ds-2
1:10.1.2+ds-3
1:10.1.3+ds-1
1:10.2.0~rc1+ds-1
1:10.2.0+ds-1
1:10.2.0+ds-2
1:10.2.1+ds-1

Ecosystem specific 

{
    "urgency": "unimportant"
}

Database specific

source 
"https://storage.googleapis.com/debian-osv/debian-cve-osv/DEBIAN-CVE-2019-12928.json"

Debian:14 / qemu

Package

Name
qemu
Purl
pkg:deb/debian/qemu?arch=source

Affected ranges

Type
ECOSYSTEM
Events
Introduced
0Unknown introduced version / All previous versions are affected

Affected versions

1:10.*
1:10.0.2+ds-2
1:10.0.3+ds-1
1:10.0.3+ds-2
1:10.0.3+ds-3
1:10.0.3+ds-4
1:10.1.0~rc0+ds-1
1:10.1.0~rc0+ds-2
1:10.1.0~rc0+ds-3
1:10.1.0~rc0+ds-4
1:10.1.0~rc1+ds-1
1:10.1.0~rc1+ds-1a
1:10.1.0~rc1+ds-1b
1:10.1.0~rc1+ds-2
1:10.1.0~rc1+ds-3
1:10.1.0~rc2+ds-1
1:10.1.0~rc3+ds-1
1:10.1.0~rc3+ds-2
1:10.1.0+ds-1
1:10.1.0+ds-2
1:10.1.0+ds-3
1:10.1.0+ds-4
1:10.1.0+ds-5
1:10.1.1+ds-1
1:10.1.2+ds-1
1:10.1.2+ds-2
1:10.1.2+ds-3
1:10.1.3+ds-1
1:10.2.0~rc1+ds-1
1:10.2.0+ds-1
1:10.2.0+ds-2
1:10.2.1+ds-1

Ecosystem specific 

{
    "urgency": "unimportant"
}

Database specific

source 
"https://storage.googleapis.com/debian-osv/debian-cve-osv/DEBIAN-CVE-2019-12928.json"