Plateforme
go
Composant
github.com/lxc/incus
Corrigé dans
6.23.1
6.23.0
La vulnérabilité CVE-2026-33542 affecte Incus, une plateforme de gestion de machines virtuelles basée sur LXC. Elle réside dans l'absence de vérification de l'empreinte digitale combinée lors du téléchargement d'images depuis les serveurs simplestreams. Cette faille permet à un attaquant de compromettre l'intégrité des images téléchargées, potentiellement conduisant à l'exécution de code malveillant sur les machines virtuelles. La version affectée est toute version antérieure à 6.23.0. Une mise à jour vers cette version est disponible.
L'impact de cette vulnérabilité est significatif. Un attaquant capable de contrôler les images téléchargées par Incus peut injecter du code malveillant dans ces images. Lors du déploiement de ces images compromises, le code malveillant s'exécutera sur la machine virtuelle, permettant à l'attaquant de prendre le contrôle de celle-ci. Cela peut inclure l'accès à des données sensibles, la modification de configurations, ou l'utilisation de la machine virtuelle comme point de pivot pour attaquer d'autres systèmes sur le réseau. La vulnérabilité est particulièrement préoccupante dans les environnements où Incus est utilisé pour automatiser le déploiement de machines virtuelles, car elle pourrait permettre à un attaquant de compromettre un grand nombre de machines virtuelles simultanément. Bien qu'il n'y ait pas de cas d'exploitation publique connus, la nature de la vulnérabilité et la possibilité de compromettre des images de conteneurs la rendent potentiellement dangereuse.
Cette vulnérabilité a été rendue publique le 7 avril 2026. Elle n'est pas répertoriée sur KEV à ce jour. L'EPSS score n'est pas encore disponible. Il n'existe pas de preuve de concept (PoC) publique connue, mais la nature de la vulnérabilité suggère une probabilité d'exploitation potentielle, en particulier dans les environnements où la sécurité des images de conteneurs n'est pas correctement gérée. Consultez la publication NVD pour plus d'informations.
Organizations heavily reliant on containerized applications managed by Incus, particularly those using Simplestreams for image storage and distribution, are at risk. Environments with limited image scanning capabilities or weak network segmentation policies are especially vulnerable.
• go / application: Examine Incus logs for errors related to image downloads and fingerprint verification. Use go tool pprof to analyze Incus's performance and identify potential bottlenecks related to fingerprinting.
• generic web: Monitor Simplestreams server logs for unusual image upload patterns or requests from Incus instances.
• linux / server: Use journalctl -u incus to check for error messages related to image downloads and fingerprint verification failures. Implement auditd rules to monitor access to the Simplestreams API.
disclosure
Statut de l'Exploit
EPSS
0.04% (percentile 11%)
CISA SSVC
La mitigation principale consiste à mettre à jour Incus vers la version 6.23.0 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est recommandé de désactiver temporairement le téléchargement d'images depuis les serveurs simplestreams. En alternative, il est possible de mettre en place des règles de pare-feu pour limiter l'accès aux serveurs simplestreams uniquement aux adresses IP autorisées. Il est également conseillé de mettre en œuvre des processus de vérification d'intégrité des images téléchargées, en utilisant des outils de signature numérique ou de hachage. Après la mise à jour, vérifiez que les images téléchargées sont correctement validées en tentant de télécharger une image de test et en surveillant les journaux d'Incus pour détecter toute erreur.
Mettez à jour Incus à la version 6.23.0 ou supérieure. Cette version corrige le manque de validation de l'empreinte digitale de l'image lors du téléchargement depuis les serveurs d'images simplestreams, évitant ainsi l'empoisonnement du cache d'images et la possible exécution d'images contrôlées par des attaquants.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-33542 is a HIGH severity vulnerability in Incus affecting versions before 6.23.0. It allows attackers to potentially compromise container images by exploiting insufficient fingerprint verification when downloading from Simplestreams.
You are affected if you are running Incus versions prior to 6.23.0 and using Simplestreams for image storage and distribution. Upgrade to 6.23.0 to eliminate this risk.
Upgrade Incus to version 6.23.0 or later. This version includes the necessary fingerprint verification fix to prevent image compromise.
No public proof-of-concept exploits are currently known, but the vulnerability's nature makes it a potential target for exploitation. Continuous monitoring is recommended.
Refer to the official Incus project website and security advisories for the latest information and updates regarding CVE-2026-33542.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.