प्लेटफ़ॉर्म
go
घटक
github.com/lxc/incus
में ठीक किया गया
6.23.1
6.23.0
Incus में एक गंभीर भेद्यता पाई गई है, जहाँ यह simplestreams सर्वर से छवियों को डाउनलोड करते समय संयुक्त फ़िंगरप्रिंट को सत्यापित नहीं करता है। इस कमी का फायदा उठाकर, एक हमलावर दुर्भावनापूर्ण छवियों को इंजेक्ट कर सकता है, जिससे सिस्टम की सुरक्षा से समझौता हो सकता है। यह भेद्यता Incus के संस्करण 6.23.0 से पहले के सभी संस्करणों को प्रभावित करती है। 7 अप्रैल, 2026 को प्रकाशित, इस समस्या को 6.23.0 संस्करण में ठीक कर दिया गया है।
यह भेद्यता हमलावरों को Incus द्वारा प्रबंधित कंटेनर वातावरण में अनधिकृत छवियों को इंजेक्ट करने की अनुमति देती है। एक हमलावर दुर्भावनापूर्ण छवि को सरलस्ट्रीम सर्वर पर अपलोड कर सकता है और फिर Incus को इसे डाउनलोड करने के लिए प्रेरित कर सकता है। डाउनलोड की गई छवि में दुर्भावनापूर्ण कोड हो सकता है जो कंटेनर के निष्पादन के दौरान सक्रिय हो जाएगा, जिससे सिस्टम पर नियंत्रण हासिल करने या संवेदनशील डेटा तक पहुंचने की क्षमता मिल जाएगी। यह भेद्यता विशेष रूप से उन वातावरणों में गंभीर है जहाँ Incus का उपयोग महत्वपूर्ण अनुप्रयोगों को चलाने या संवेदनशील डेटा को संग्रहीत करने के लिए किया जाता है। संभावित प्रभाव में डेटा उल्लंघन, सिस्टम समझौता और सेवा से इनकार शामिल हैं।
यह भेद्यता अभी तक KEV में सूचीबद्ध नहीं है, लेकिन इसकी उच्च CVSS स्कोर (7.5) इंगित करती है कि इसका शोषण किया जा सकता है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक ज्ञात नहीं हैं, लेकिन इस भेद्यता का फायदा उठाने के लिए हमलावरों द्वारा प्रयास किए जा सकते हैं। यह भेद्यता 7 अप्रैल, 2026 को सार्वजनिक रूप से प्रकाशित की गई थी।
Organizations heavily reliant on containerized applications managed by Incus, particularly those using Simplestreams for image storage and distribution, are at risk. Environments with limited image scanning capabilities or weak network segmentation policies are especially vulnerable.
• go / application: Examine Incus logs for errors related to image downloads and fingerprint verification. Use go tool pprof to analyze Incus's performance and identify potential bottlenecks related to fingerprinting.
• generic web: Monitor Simplestreams server logs for unusual image upload patterns or requests from Incus instances.
• linux / server: Use journalctl -u incus to check for error messages related to image downloads and fingerprint verification failures. Implement auditd rules to monitor access to the Simplestreams API.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.04% (11% शतमक)
CISA SSVC
CVE-2026-33542 को कम करने के लिए, Incus को तुरंत संस्करण 6.23.0 या बाद के संस्करण में अपग्रेड करना आवश्यक है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, सरलस्ट्रीम सर्वर पर छवियों के डाउनलोड को सीमित करने के लिए फ़ायरवॉल नियमों को लागू किया जा सकता है। इसके अतिरिक्त, Incus कॉन्फ़िगरेशन को सख्त किया जाना चाहिए ताकि केवल विश्वसनीय स्रोतों से छवियों को डाउनलोड किया जा सके। सिस्टम की सुरक्षा को मजबूत करने के लिए, नियमित सुरक्षा ऑडिट और भेद्यता स्कैनिंग भी की जानी चाहिए। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि फ़िंगरप्रिंट सत्यापन ठीक से काम कर रहा है, एक परीक्षण छवि डाउनलोड करके सत्यापित करें।
Incus को संस्करण 6.23.0 या उच्चतर में अपडेट करें। यह संस्करण छवियों के फिंगरप्रिंट सत्यापन की कमी को ठीक करता है जब simplestreams छवि सर्वरों से डाउनलोड किया जाता है, जिससे छवि कैश पॉइज़निंग और हमलावरों द्वारा नियंत्रित छवियों का संभावित निष्पादन रोका जा सकता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-33542 Incus में एक भेद्यता है जहाँ यह सरलस्ट्रीम सर्वर से छवियों को डाउनलोड करते समय फ़िंगरप्रिंट को सत्यापित नहीं करता है, जिससे हमलावर दुर्भावनापूर्ण छवियों को इंजेक्ट कर सकते हैं।
यदि आप Incus के संस्करण 6.23.0 से पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2026-33542 को ठीक करने के लिए, Incus को संस्करण 6.23.0 या बाद के संस्करण में अपग्रेड करें।
हालांकि सार्वजनिक PoC ज्ञात नहीं हैं, उच्च CVSS स्कोर इंगित करता है कि इसका शोषण किया जा सकता है।
कृपया Incus परियोजना की वेबसाइट या GitHub रिपॉजिटरी पर आधिकारिक सलाहकार देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी go.mod फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।