Plateforme
go
Composant
github.com/lxc/incus
Corrigé dans
6.23.1
6.23.0
La vulnérabilité CVE-2026-33897 permet un accès arbitraire aux fichiers sur le serveur hôte via des fichiers de template d'instance dans Incus. Un attaquant peut potentiellement lire ou écrire des fichiers en tant que root, compromettant ainsi la sécurité du système. Cette faille affecte github.com/lxc/incus/v6. Elle a été corrigée dans la version 6.23.0.
La vulnérabilité CVE-2026-33897 dans Incus permet à un attaquant d'effectuer des lectures et écritures arbitraires de fichiers via l'utilisation de modèles Pongo. Un attaquant compromettant un système exécutant une version vulnérable d'Incus pourrait potentiellement accéder à des informations sensibles stockées sur le système de fichiers, telles que des clés d'API, des mots de passe, des données de configuration ou même des données utilisateur. La capacité d'écriture arbitraire de fichiers est particulièrement préoccupante, car elle pourrait être exploitée pour exécuter du code malveillant sur le système, compromettant ainsi la confidentialité, l'intégrité et la disponibilité des données. Le rayon d'impact est potentiellement élevé, car un attaquant pourrait utiliser cette vulnérabilité pour obtenir un contrôle total sur le système Incus et, potentiellement, sur les systèmes connectés via les fonctionnalités de gestion de conteneurs d'Incus. Par exemple, un attaquant pourrait modifier des fichiers de configuration pour rediriger le trafic réseau, installer des logiciels malveillants ou voler des données sensibles. La compromission pourrait également affecter les conteneurs gérés par Incus, permettant à un attaquant d'accéder aux données et aux applications qu'ils contiennent. La gravité critique de cette vulnérabilité souligne la nécessité d'une correction rapide et efficace.
À l'heure actuelle, il n'existe pas de rapports publics d'exploitation active de la vulnérabilité CVE-2026-33897. Cependant, la gravité critique de la vulnérabilité et la possibilité d'exploitation à distance suggèrent qu'elle pourrait devenir une cible pour les attaquants. L'absence de preuves d'exploitation publiques ne doit pas être interprétée comme une garantie de sécurité. Il est fortement recommandé d'appliquer la correction dès que possible pour réduire le risque d'exploitation future. La description de la vulnérabilité indique qu'elle est liée à l'utilisation de modèles Pongo, ce qui pourrait permettre aux chercheurs en sécurité de développer des preuves de concept (POC) exploitant cette vulnérabilité. La surveillance continue des forums de sécurité et des bases de données de vulnérabilités est recommandée pour rester informé de tout développement concernant l'exploitation de cette vulnérabilité.
Statut de l'Exploit
EPSS
0.06% (percentile 17%)
CISA SSVC
Vecteur CVSS
La solution recommandée pour corriger CVE-2026-33897 est de mettre à niveau Incus vers la version 6.23.0 ou ultérieure. Cette version inclut une correction pour la vulnérabilité. Si la mise à niveau n'est pas immédiatement possible, il n'existe pas de contournement documenté pour atténuer complètement le risque. Il est crucial de prioriser la mise à niveau. Avant d'appliquer la mise à jour, il est conseillé de sauvegarder la configuration actuelle d'Incus afin de pouvoir la restaurer en cas de problème. Après la mise à niveau, il est important de vérifier que tous les services Incus fonctionnent correctement et que la vulnérabilité a bien été corrigée. Cela peut être fait en effectuant des tests de pénétration ciblés sur la vulnérabilité ou en consultant les notes de publication de la version 6.23.0 pour des instructions spécifiques sur la vérification de la correction. La mise à jour doit être effectuée pendant une fenêtre de maintenance planifiée pour minimiser les interruptions de service.
Actualice Incus a la versión 6.23.0 o superior. Esta versión corrige la vulnerabilidad que permite la lectura y escritura arbitraria de archivos en el servidor host a través de plantillas pongo2.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-33897 is a critical vulnerability in Incus that allows for arbitrary file read and write through improper handling of Pongo templates.
Versions of Incus prior to 6.23.0 are affected by this vulnerability.
Upgrade Incus to version 6.23.0 or later to resolve this vulnerability.
As of now, there are no public exploitation reports or proof-of-concept code available for CVE-2026-33897.
Refer to the National Vulnerability Database (NVD) entry for CVE-2026-33897 for more details: https://nvd.nist.gov/vuln/detail/CVE-2026-33897
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.