HIGHCVE-2026-33542CVSS 7.5

Incusは、github.com/lxc/incus内のsimplestreamsサーバーからイメージをダウンロードする際に、結合されたフィンガープリントを検証しません

Q: CVE-2026-33542 — Fingerprint Verification Failure in Incusとは何ですか？

CVE-2026-33542は、Incus 6.23.0以前のバージョンにおいて、simplestreamsサーバーからイメージをダウンロードする際に、結合されたフィンガープリントの検証が行われない脆弱性です。

Q: CVE-2026-33542 in Incusで影響を受けますか？

Incusのバージョンが6.23.0以前を使用している場合、この脆弱性の影響を受けます。

Q: CVE-2026-33542 in Incusを修正するにはどうすればよいですか？

Incusをバージョン6.23.0以降にアップデートしてください。

Q: CVE-2026-33542は積極的に悪用されていますか？

現時点では、公開されているPoCは確認されていませんが、悪用される可能性は高いと考えられます。

Q: CVE-2026-33542に関するIncusの公式アドバイザリはどこで入手できますか？

Incusの公式アドバイザリは、Incusの公式ウェブサイトまたはGitHubリポジトリで確認できます。

プラットフォーム

コンポーネント

github.com/lxc/incus

修正版

6.23.1

6.23.0

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

Incusにおける脆弱性CVE-2026-33542は、simplestreamsサーバーからイメージをダウンロードする際に、結合されたフィンガープリントの検証が不十分であるという問題です。この脆弱性を悪用されると、攻撃者は悪意のあるイメージをシステムに注入し、潜在的にシステムを侵害する可能性があります。影響を受けるバージョンはIncus 6.23.0以前です。6.23.0へのアップデートによりこの問題は修正されています。

影響と攻撃シナリオ

この脆弱性は、攻撃者がIncusが使用するsimplestreamsサーバーに悪意のあるイメージを注入することを可能にします。Incusは、この悪意のあるイメージをダウンロードし、実行してしまう可能性があります。これにより、攻撃者はシステム上で任意のコードを実行し、機密情報を盗み出し、システムを完全に制御する可能性があります。この脆弱性は、特にIncusを信頼できないソースからイメージをダウンロードするために使用している環境において、深刻なリスクをもたらします。攻撃者は、既存のIncus環境に侵入し、他のシステムへの攻撃の足がかりとして利用する可能性があります。

悪用の状況

CVE-2026-33542は2026年4月7日に公開されました。現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、脆弱性の性質上、悪用される可能性は高いと考えられます。CISA KEVリストへの登録状況は不明です。この脆弱性は、Incusを使用している組織にとって、早急な対応が必要な問題です。

リスク対象者翻訳中…

Organizations heavily reliant on containerized applications managed by Incus, particularly those using Simplestreams for image storage and distribution, are at risk. Environments with limited image scanning capabilities or weak network segmentation policies are especially vulnerable.

検出手順翻訳中…

• go / application: Examine Incus logs for errors related to image downloads and fingerprint verification. Use go tool pprof to analyze Incus's performance and identify potential bottlenecks related to fingerprinting. • generic web: Monitor Simplestreams server logs for unusual image upload patterns or requests from Incus instances. • linux / server: Use journalctl -u incus to check for error messages related to image downloads and fingerprint verification failures. Implement auditd rules to monitor access to the Simplestreams API.

攻撃タイムライン

2026-04-07Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

レポート1 脅威レポート

EPSS

0.04% (11% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響partial

影響を受けるソフトウェア

コンポーネントgithub.com/lxc/incus

ベンダーosv

影響範囲修正版

< 6.23.0 – < 6.23.06.23.1

—6.23.0

弱点分類 (CWE)

CWE-295

タイムライン

予約済み2026-03-20
公開日2026-04-07
EPSS 更新日2026-04-03

緩和策と回避策

この脆弱性への最も効果的な対策は、Incusをバージョン6.23.0以降にアップデートすることです。アップデートがすぐに利用できない場合は、simplestreamsサーバーからのイメージダウンロードを一時的に停止するか、信頼できるソースからのイメージのみをダウンロードするように設定してください。また、ファイアウォールやネットワークセグメンテーションを使用して、Incus環境への不正アクセスを制限することも有効です。Incusのログを定期的に監視し、異常なアクティビティがないか確認することも重要です。アップデート後、イメージの整合性を確認し、脆弱性が修正されていることを確認してください。

修正方法

Incusをバージョン6.23.0以降にアップデートしてください。このバージョンでは、simplestreamsイメージサーバーからダウンロードする際のイメージフィンガープリントの検証不足が修正されており、イメージキャッシュの汚染と、攻撃者によって制御されたイメージの実行の可能性を防ぎます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-33542 — Fingerprint Verification Failure in Incusとは何ですか？