無料スキャン
CRITICALCVE-2026-33945CVSS 9.9

Incusには、systemd-credsオプションを介した任意のファイル書き込みの脆弱性があります

プラットフォーム

go

コンポーネント

github.com/lxc/incus

修正版

6.23.1

6.23.0

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年3月
NVDで見る
保存

CVE-2026-33945は、IncusインスタンスがゲストOSのsystemdに認証情報を提供する方法に存在する、ディレクトリトラバーサルの脆弱性です。攻撃者はこの脆弱性を悪用して、ホストOS上の任意のファイルを書き換え、ローカル権限昇格やDoS攻撃を引き起こす可能性があります。この脆弱性はgithub.com/lxc/incus/v6に影響します。バージョン6.23.0で修正されました。

Go

このCVEがあなたのプロジェクトに影響するか確認

go.mod ファイルをアップロードすると、影響の有無を即座にお知らせします。

go.mod をアップロード

影響と攻撃シナリオ

Incusのsystemd-credsオプションにおける任意のファイル書き込み脆弱性(CVE-2026-33945)は、攻撃者が認証情報を悪用することで、システム上で任意の場所にファイルを書き込むことを可能にします。具体的には、攻撃者はIncusクラスタにアクセスできるsystemdクレデンシャルを持つユーザーになりすますことで、設定ファイル、ログファイル、さらには実行可能ファイルを改ざんできる可能性があります。これにより、クラスタ全体の制御を奪取したり、機密情報を盗み出したり、悪意のあるコードを実行したりすることが考えられます。特に、Incusがストレージ管理や仮想化基盤として利用されている場合、影響範囲は広大になり、保存されているデータ、実行中の仮想マシン、そしてそれらにアクセスできるすべてのユーザーがリスクにさらされる可能性があります。攻撃者は、書き込み権限を持つファイルに悪意のあるスクリプトを配置し、Incusの再起動や特定のイベント発生時に自動的に実行させることも可能です。この脆弱性の深刻度はCRITICALであり、迅速な対応が必要です。

悪用の状況

現在、CVE-2026-33945に対する公開されているエクスプロイトコードは存在しません(KEV: no public exploitation reports)。しかし、この脆弱性の深刻度(CVSSスコア9.9 - CRITICAL)は非常に高く、攻撃者がエクスプロイトを開発する可能性は否定できません。特に、Incusが広く利用されている環境では、攻撃対象として優先される可能性があります。脆弱性の公開からエクスプロイトの作成までには時間がかかることが一般的ですが、セキュリティ専門家は常に警戒し、最新の脅威情報を収集する必要があります。この脆弱性に対する攻撃の兆候が見られた場合は、直ちにIncusをパッチ適用し、影響を受けたシステムを隔離することを推奨します。

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
インターネット露出
レポート2 件の脅威レポート

EPSS

0.07% (21% パーセンタイル)

CISA SSVC

悪用状況none
自動化可能no
技術的影響total

CVSS ベクトル

脅威インテリジェンス· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H9.9CRITICALAttack VectorNetwork攻撃者がターゲットに到達する方法Attack ComplexityLow悪用に必要な条件Privileges RequiredLow攻撃に必要な認証レベルUser InteractionNone被害者の操作が必要かどうかScopeChanged影響コンポーネント外への波及ConfidentialityHigh機密データ漏洩のリスクIntegrityHigh不正データ改ざんのリスクAvailabilityHighサービス障害のリスクnextguardhq.com · CVSS v3.1 基本スコア
これらのメトリクスの意味は?
Attack Vector
ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
Attack Complexity
低 — 特別な条件不要。安定して悪用可能。
Privileges Required
低 — 有効なユーザーアカウントがあれば十分。
User Interaction
なし — 自動かつ無音の攻撃。被害者は何もしない。
Scope
変化あり — 攻撃が脆弱なコンポーネントを超えて他のシステムに波及可能。
Confidentiality
高 — 機密性の完全喪失。全データが読み取り可能。
Integrity
高 — 任意のデータの書き込み・変更・削除が可能。
Availability
高 — 完全なクラッシュまたはリソース枯渇。完全なサービス拒否。

影響を受けるソフトウェア

コンポーネントgithub.com/lxc/incus
ベンダーosv
影響範囲修正版
< 6.23.0 – < 6.23.06.23.1
6.23.0

弱点分類 (CWE)

CWE-22

タイムライン

  1. 予約済み
  2. 公開日
  3. EPSS 更新日

緩和策と回避策

CVE-2026-33945の修正には、Incusをバージョン6.23.0以降にアップグレードすることが推奨されます。このバージョンでは脆弱性が修正されています。アップグレードが直ちに不可能である場合、systemd-credsオプションを無効にすることで、一時的な緩和策として機能します。ただし、この設定変更は、Incusの機能に影響を与える可能性があるため、事前に十分なテストを行う必要があります。アップグレードまたは設定変更後、Incusの再起動が必要になる場合があります。修正が適用されたことを確認するため、Incusのログを監視し、異常なファイル書き込み操作がないか確認することを推奨します。また、Incusクラスタへのアクセスを厳格に制限し、最小権限の原則を適用することで、攻撃のリスクを軽減できます。アップグレード手順は、Incusの公式ドキュメントを参照してください。

修正方法翻訳中…

Actualice Incus a la versión 6.23.0 o superior. Esta versión corrige la vulnerabilidad que permite la escritura arbitraria de archivos. La actualización se puede realizar a través del gestor de paquetes del sistema o descargando la nueva versión desde el sitio web oficial.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-33945 とは何ですか?(github.com/lxc/incus)

CVE-2026-33945は、Incusのsystemd-credsオプションにおける任意のファイル書き込み脆弱性です。

github.com/lxc/incus の CVE-2026-33945 による影響を受けていますか?

Incusのバージョンが6.23.0より前の場合は、この脆弱性に影響を受ける可能性があります。

github.com/lxc/incus の CVE-2026-33945 を修正するにはどうすればよいですか?

Incusをバージョン6.23.0以降にアップグレードすることで、この脆弱性を修正できます。

CVE-2026-33945 は積極的に悪用されていますか?

現時点では、CVE-2026-33945に対する公開されているエクスプロイトコードはありません。

CVE-2026-33945 に関する github.com/lxc/incus の公式アドバイザリはどこで確認できますか?

NVD: https://nvd.nist.gov/vuln/detail/CVE-2026-33945、Incusベンダーアドバイザリを参照してください。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索