प्लेटफ़ॉर्म
go
घटक
github.com/lxc/incus
में ठीक किया गया
6.23.1
6.23.0
CVE-2026-33898 Incus में एक प्रमाणीकरण भेद्यता है। incus webui द्वारा उत्पन्न वेब सर्वर गलत तरीके से प्रमाणीकरण टोकन को मान्य करता है, जिससे एक अमान्य मान स्वीकार किया जाता है। यह भेद्यता संस्करण 6.23.0 से पहले के संस्करणों को प्रभावित करती है। संस्करण 6.23.0 में इस समस्या को ठीक कर दिया गया है।
CVE-2026-33898 एक गंभीर भेद्यता है जो Incus UI वेब सर्वर में पाई गई है। यह भेद्यता हमलावर को प्रमाणीकरण (authentication) को बायपास करने की अनुमति देती है, जिसका अर्थ है कि वे बिना किसी वैध क्रेडेंशियल के सिस्टम तक पहुंच प्राप्त कर सकते हैं। इस भेद्यता का उपयोग करके, एक हमलावर संवेदनशील डेटा तक पहुंच सकता है, जैसे कि कंटेनर छवियां, वॉल्यूम और नेटवर्क कॉन्फ़िगरेशन। वे सिस्टम को भी नियंत्रित कर सकते हैं, नए कंटेनर बना सकते हैं, मौजूदा कंटेनरों को संशोधित कर सकते हैं, और यहां तक कि सिस्टम को पूरी तरह से बंद भी कर सकते हैं। इस भेद्यता का 'ब्लास्ट रेडियस' (blast radius) काफी बड़ा है क्योंकि यह हमलावर को Incus क्लस्टर के भीतर सभी संसाधनों तक पहुंच प्रदान कर सकता है। यदि Incus क्लस्टर का उपयोग महत्वपूर्ण अनुप्रयोगों को होस्ट करने के लिए किया जा रहा है, तो इस भेद्यता का शोषण करने से गंभीर व्यावसायिक व्यवधान हो सकता है। उदाहरण के लिए, एक हमलावर डेटा को एन्क्रिप्ट कर सकता है और फिरौती की मांग कर सकता है, या वे संवेदनशील डेटा को चुरा सकते हैं और इसे सार्वजनिक रूप से उजागर कर सकते हैं। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि यह स्थानीय पहुंच की आवश्यकता होती है, जिसका अर्थ है कि हमलावर को पहले सिस्टम पर कुछ प्रारंभिक पहुंच प्राप्त करने की आवश्यकता होती है। हालांकि, एक बार जब हमलावर को प्रारंभिक पहुंच मिल जाती है, तो वे आसानी से प्रमाणीकरण को बायपास कर सकते हैं और सिस्टम पर पूर्ण नियंत्रण प्राप्त कर सकते हैं।
वर्तमान में, CVE-2026-33898 के लिए कोई सार्वजनिक शोषण रिपोर्ट नहीं हैं (KEV - No public exploitation reports)। इसका मतलब है कि इस भेद्यता का अभी तक व्यापक रूप से शोषण नहीं किया गया है। हालांकि, इसका मतलब यह नहीं है कि यह भेद्यता जोखिम मुक्त है। हमलावर हमेशा नई शोषण तकनीकों की तलाश में रहते हैं, और यह संभव है कि भविष्य में इस भेद्यता के लिए एक शोषण विकसित किया जा सकता है। इस भेद्यता की गंभीरता को देखते हुए, इसे जल्द से जल्द ठीक करना महत्वपूर्ण है। सार्वजनिक रूप से उपलब्ध कोई प्रूफ-ऑफ-कॉन्सेप्ट (POC) नहीं है, लेकिन भेद्यता की प्रकृति को देखते हुए, यह मान लेना उचित है कि शोषण की संभावना मौजूद है। इसलिए, तत्काल कार्रवाई की सिफारिश की जाती है।
Organizations deploying Incus for container storage orchestration are at risk. This includes Kubernetes environments utilizing Incus for persistent volumes and storage management. Specifically, environments with exposed Incus UI endpoints without proper network segmentation or access controls are particularly vulnerable.
• linux / server:
journalctl -u incus -g 'authentication bypass'• generic web:
curl -I http://<incus_ip>/ui/ | grep 'WWW-Authenticate'• generic web:
curl -I http://<incus_ip>/ui/ | grep 'Authorization: Basic'disclosure
एक्सप्लॉइट स्थिति
EPSS
0.07% (22% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-33898 को ठीक करने का सबसे अच्छा तरीका Incus को संस्करण 6.23.0 या बाद के संस्करण में अपग्रेड करना है। यह संस्करण भेद्यता को ठीक करने के लिए आवश्यक पैच शामिल करता है। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप Incus UI वेब सर्वर तक पहुंच को केवल विश्वसनीय नेटवर्क से प्रतिबंधित कर सकते हैं। यह हमलावरों के लिए सिस्टम तक पहुंचने और भेद्यता का शोषण करने को कठिन बना देगा। सुनिश्चित करें कि सभी नेटवर्क एक्सेस को सख्त नियमों के माध्यम से नियंत्रित किया जाता है और केवल अधिकृत उपयोगकर्ताओं को ही पहुंच प्रदान की जाती है। अपग्रेड करने के बाद, यह सत्यापित करना महत्वपूर्ण है कि भेद्यता वास्तव में ठीक हो गई है। आप यह जांचने के लिए भेद्यता स्कैनिंग टूल का उपयोग कर सकते हैं कि सिस्टम में कोई ज्ञात भेद्यता है या नहीं। इसके अतिरिक्त, यह सुनिश्चित करने के लिए कि सिस्टम ठीक से काम कर रहा है, सभी महत्वपूर्ण अनुप्रयोगों और सेवाओं का परीक्षण करें। अपग्रेड प्रक्रिया को सावधानीपूर्वक योजनाबद्ध और निष्पादित किया जाना चाहिए, और किसी भी संभावित व्यवधान को कम करने के लिए बैकअप की सिफारिश की जाती है।
Actualice Incus a la versión 6.23.0 o superior. Esta versión corrige la vulnerabilidad de omisión de autenticación en la interfaz web local.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-33898 Incus UI वेब सर्वर में पाई गई एक भेद्यता है जो हमलावरों को प्रमाणीकरण को बायपास करने की अनुमति देती है।
यदि आप Incus के संस्करण 6.23.0 से पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2026-33898 को ठीक करने के लिए Incus को संस्करण 6.23.0 या बाद के संस्करण में अपग्रेड करें।
वर्तमान में, CVE-2026-33898 के लिए कोई सार्वजनिक शोषण रिपोर्ट नहीं हैं।
आप इस भेद्यता के बारे में अधिक जानकारी के लिए NVD (National Vulnerability Database) या विक्रेता सलाहकार पर जा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी go.mod फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।