Plateforme
go
Composant
github.com/canonical/lxd
Corrigé dans
5.0.7
5.21.5
6.8.0
0.0.1
La vulnérabilité CVE-2026-34177 affecte le composant github.com/canonical/lxd et se situe dans la fonction isVMLowLevelOptionForbidden. Elle permet à un utilisateur disposant de permissions d'édition sur une instance VM dans un projet restreint de contourner les restrictions de sécurité en injectant des configurations brutes. Cette faille permet de compromettre l'accès au cluster et est corrigée dans la version 6.8.0.
La vulnérabilité CVE-2026-34177 dans LXD permet à un utilisateur disposant des permissions 'can_edit' sur une instance de machine virtuelle (VM) au sein d'un projet restreint d'obtenir un accès administrateur complet au cluster. Cela est dû au fait que la fonction isVMLowLevelOptionForbidden n'inclut pas raw.apparmor et raw.qemu.conf dans sa liste d'options interdites. Cette omission permet à un attaquant de relayer le socket Unix de LXD vers la VM invitée, contournant ainsi la restriction de projet restricted.virtual-machines.lowlevel=block, qui est le contrôle de sécurité spécifiquement conçu pour l'empêcher. L'impact est critique, car un cluster compromis peut entraîner des violations de données, une interruption du système et une perte totale de contrôle.
Un attaquant disposant des permissions 'can_edit' sur une VM au sein d'un projet appliquant restricted.virtual-machines.lowlevel=block peut exploiter cette vulnérabilité. L'attaquant peut manipuler la configuration de la VM pour inclure des options qui permettent l'accès au socket Unix de LXD. En relayant ce socket vers la VM invitée, l'attaquant peut exécuter des commandes avec des privilèges d'administrateur de cluster, contournant ainsi la restriction de bas niveau. L'exploitation nécessite une expertise technique modérée et un accès à une VM disposant des permissions appropriées. La version 6.8.0 réduit considérablement la complexité de l'exploitation.
Organizations heavily reliant on LXD for container orchestration and virtualization are at significant risk. Specifically, environments with multiple users having can_edit permissions on VM instances within restricted projects are particularly vulnerable. Shared hosting environments utilizing LXD also pose a heightened risk due to the potential for cross-tenant exploitation.
• linux / server:
journalctl -u lxd | grep -i 'forbidden lowlevel option'• linux / server:
ps aux | grep -i 'lxd' | grep -i 'raw.apparmor'• generic web:
Check LXD API endpoints for unauthorized configuration changes using curl or wget.
disclosure
Statut de l'Exploit
EPSS
0.14% (percentile 33%)
CISA SSVC
Vecteur CVSS
L'atténuation principale pour CVE-2026-34177 consiste à mettre à niveau vers la version 6.8.0 de LXD ou supérieure. Cette version corrige la vulnérabilité en incluant correctement raw.apparmor et raw.qemu.conf dans la liste des options interdites. En tant que mesure temporaire, restreignez l'accès aux utilisateurs disposant des permissions 'can_edit' aux VM, en limitant leurs capacités et en réduisant la surface d'attaque. Examinez et auditez régulièrement les configurations des projets LXD pour identifier les configurations potentiellement vulnérables. L'application rapide de correctifs est essentielle pour minimiser le risque d'exploitation.
Actualice a la versión 6.8.0 o posterior para mitigar la vulnerabilidad. Esta actualización corrige la denylist incompleta que permite el bypass de las restricciones de bajo nivel en las máquinas virtuales, previniendo la escalada de privilegios.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
LXD est un gestionnaire de virtualisation de niveau système qui simplifie la création et la gestion de machines virtuelles.
La version 6.8.0 corrige la CVE-2026-34177, qui permet à un attaquant d'obtenir un accès administrateur complet au cluster LXD.
C'est une permission dans LXD qui permet à un utilisateur de modifier la configuration d'une machine virtuelle.
C'est une restriction de projet dans LXD qui empêche les utilisateurs de modifier certaines options de bas niveau des machines virtuelles.
Oui, restreindre l'accès aux utilisateurs disposant des permissions 'can_edit' et auditer les configurations des projets LXD sont des mesures temporaires qui peuvent aider à réduire le risque.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.