Plataforma
go
Componente
github.com/lxc/incus
Corregido en
6.23.1
6.23.0
La vulnerabilidad CVE-2026-33542 afecta a Incus, una plataforma de gestión de contenedores. Esta falla de seguridad permite a un atacante descargar imágenes de contenedores no verificadas desde servidores simplestreams, lo que podría resultar en la ejecución de código malicioso. La vulnerabilidad afecta a versiones anteriores a 6.23.0 y se recomienda actualizar a esta versión para solucionar el problema.
La falta de verificación de la huella digital al descargar imágenes de simplestreams en Incus representa un riesgo significativo. Un atacante podría manipular las imágenes de contenedores, insertando código malicioso que se ejecutaría al desplegar la imagen. Esto podría comprometer la seguridad del host donde se ejecuta Incus, permitiendo el acceso no autorizado a datos sensibles o la ejecución de comandos arbitrarios. El impacto potencial es alto, especialmente en entornos donde Incus se utiliza para gestionar contenedores críticos o en entornos de desarrollo donde las imágenes de contenedores se descargan de fuentes no confiables. La posibilidad de inyección de código malicioso en las imágenes de contenedores es similar a los riesgos asociados con el uso de imágenes de contenedores no firmadas o no verificadas.
La vulnerabilidad fue publicada el 7 de abril de 2026. Actualmente no se dispone de información sobre explotación activa de esta vulnerabilidad. La probabilidad de explotación se considera moderada, dado que requiere acceso a la infraestructura de Incus y la capacidad de manipular las imágenes de contenedores. Se recomienda monitorear las fuentes de información de seguridad, como el NVD y CISA, para obtener actualizaciones sobre posibles exploits o campañas de ataque.
Organizations heavily reliant on containerized applications managed by Incus, particularly those using Simplestreams for image storage and distribution, are at risk. Environments with limited image scanning capabilities or weak network segmentation policies are especially vulnerable.
• go / application: Examine Incus logs for errors related to image downloads and fingerprint verification. Use go tool pprof to analyze Incus's performance and identify potential bottlenecks related to fingerprinting.
• generic web: Monitor Simplestreams server logs for unusual image upload patterns or requests from Incus instances.
• linux / server: Use journalctl -u incus to check for error messages related to image downloads and fingerprint verification failures. Implement auditd rules to monitor access to the Simplestreams API.
disclosure
Estado del Exploit
EPSS
0.04% (11% percentil)
CISA SSVC
La mitigación principal para CVE-2026-33542 es actualizar Incus a la versión 6.23.0 o superior. Si la actualización no es inmediatamente posible, considere implementar medidas de seguridad adicionales, como restringir las fuentes de las que Incus puede descargar imágenes de contenedores a fuentes confiables y verificadas. Implementar una política de firma de imágenes de contenedores puede ayudar a prevenir la descarga de imágenes maliciosas. Además, monitorear los registros de Incus en busca de actividad sospechosa relacionada con la descarga de imágenes puede ayudar a detectar y responder a posibles ataques.
Actualice Incus a la versión 6.23.0 o superior. Esta versión corrige la falta de validación de la huella digital de la imagen al descargar desde servidores de imágenes simplestreams, evitando así el envenenamiento de la caché de imágenes y la posible ejecución de imágenes controladas por atacantes.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-33542 is a HIGH severity vulnerability in Incus affecting versions before 6.23.0. It allows attackers to potentially compromise container images by exploiting insufficient fingerprint verification when downloading from Simplestreams.
You are affected if you are running Incus versions prior to 6.23.0 and using Simplestreams for image storage and distribution. Upgrade to 6.23.0 to eliminate this risk.
Upgrade Incus to version 6.23.0 or later. This version includes the necessary fingerprint verification fix to prevent image compromise.
No public proof-of-concept exploits are currently known, but the vulnerability's nature makes it a potential target for exploitation. Continuous monitoring is recommended.
Refer to the official Incus project website and security advisories for the latest information and updates regarding CVE-2026-33542.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.