Plataforma
go
Componente
github.com/lxc/incus/v6/cmd/incusd
Corregido en
6.1.1
6.0.6
6.20.1
La vulnerabilidad CVE-2026-23954 es una ejecución remota de código (RCE) presente en Incus v6.1.0 y versiones anteriores. Un usuario con la capacidad de lanzar un contenedor con una imagen personalizada puede explotar la funcionalidad de plantillas para leer y escribir archivos arbitrarios en el host, lo que resulta en la ejecución de comandos arbitrarios. Esta vulnerabilidad también afecta a IncusOS y fue publicada el 22 de enero de 2026.
Esta vulnerabilidad permite a un atacante con acceso para lanzar contenedores con imágenes personalizadas comprometer completamente el host subyacente. El atacante puede lograr esto mediante el uso de enlaces simbólicos o recorrido de directorios en los archivos metadata.yaml de la imagen. La ejecución de comandos arbitrarios permite la instalación de malware, el robo de datos confidenciales, la modificación de archivos del sistema y el movimiento lateral dentro de la red. El impacto es significativo, ya que un atacante puede obtener control total sobre el host, potencialmente afectando a otros contenedores y servicios que se ejecuten en él. La capacidad de leer y escribir archivos arbitrarios amplía significativamente el alcance del ataque.
La vulnerabilidad CVE-2026-23954 fue publicada el 22 de enero de 2026. No se ha confirmado la explotación activa en entornos reales, pero la naturaleza de la vulnerabilidad (RCE) y la relativa facilidad de explotación la convierten en un objetivo atractivo para los atacantes. La disponibilidad de una prueba de concepto pública podría acelerar la explotación. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa.
Organizations utilizing Incus for container orchestration, particularly those with container users possessing elevated privileges or access to sensitive data, are at risk. Shared hosting environments where multiple users can launch containers with custom images are also particularly vulnerable. Environments using older, unpatched Incus versions are at the highest risk.
• linux / server:
journalctl -u incusd | grep -i "template parsing error"• linux / server:
lsof -i :8080 | grep incusd # Check for Incus process listening on standard port• generic web:
curl -I http://<incus_ip>:8080/api/v1/ | grep -i "server: incus"disclosure
Estado del Exploit
EPSS
0.05% (15% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-23954 es actualizar a Incus v6.1.1 o posterior, que corrige la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso a la funcionalidad de plantillas solo a usuarios de confianza. Implementar controles de acceso estrictos para limitar quién puede lanzar contenedores con imágenes personalizadas es crucial. Además, se pueden utilizar reglas de firewall o proxies inversos para bloquear el acceso no autorizado a los archivos metadata.yaml. Después de la actualización, confirme la mitigación verificando que los archivos metadata.yaml no permitan el recorrido de directorios o el uso de enlaces simbólicos.
Actualice Incus a una versión superior a 6.20.0 o a la versión 6.0.6, cuando estén disponibles. Esto corregirá la vulnerabilidad de lectura y escritura arbitraria de archivos en el host a través de la funcionalidad de plantillas.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-23954 is a high-severity remote code execution vulnerability in Incus versions prior to 6.1.1. It allows attackers to execute arbitrary commands on the host system through manipulation of container image templates.
If you are running Incus versions prior to 6.1.1, you are potentially affected by this vulnerability. Assess your environment and prioritize upgrading to the patched version.
Upgrade Incus to version 6.1.1 or later to address this vulnerability. Review and restrict container user privileges as an interim measure.
While no active exploitation has been publicly confirmed, the vulnerability's nature suggests a potential for rapid exploitation. Monitor your systems closely.
Refer to the official Incus security advisory for detailed information and updates: [https://github.com/lxc/incus/security/advisories/GHSA-xxxx-xxxx-xxxx](Replace with actual advisory URL when available)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.