Incusは、pongoテンプレートを介した任意のファイルの読み取りと書き込みに対して脆弱です

IncusにおけるCVE-2026-33897は、Pongoテンプレートエンジンを介した任意のファイル読み書き脆弱性です。攻撃者は、悪意のあるPongoテンプレートをインジェクトすることで、サーバー上の任意のファイルを読み取ったり、書き換えたりすることが可能になります。これにより、機密情報（パスワード、APIキー、データベース接続情報など）が漏洩したり、システムの整合性が損なわれたりするリスクがあります。攻撃者は、読み取った情報を外部に送信したり、書き換えたファイルを利用して、システムを完全に制御したりする可能性があります。特に、Incusが機密データを保存している場合や、重要なシステムコンポーネントを管理している場合は、この脆弱性の影響は甚大です。攻撃の範囲は、Incusが利用されている環境の規模と権限に依存しますが、攻撃に成功した場合、影響を受ける可能性のあるシステムは広範囲に及ぶ可能性があります。例えば、IncusがKubernetes環境で利用されている場合、Kubernetesクラスタ全体が危険にさらされる可能性があります。この脆弱性は、認証されていない攻撃者でも利用できる可能性があり、特に注意が必要です。

1. 予約済み2026-03-24
2. 公開日2026-04-07
3. EPSS 更新日2026-04-03

CVE-2026-33897の修正には、Incusをバージョン6.23.0以降にアップグレードすることが推奨されます。このバージョンでは、脆弱性が修正されています。アップグレードが直ちに実行できない場合は、Pongoテンプレートエンジンへの入力の検証を強化するなどの緩和策を講じることを検討してください。具体的には、テンプレートエンジンに渡されるデータを厳密にサニタイズし、許可されていない文字やコードが含まれていないことを確認する必要があります。また、Incusのアクセス制御を強化し、不要なファイルへのアクセスを制限することも有効です。アップグレード後、脆弱性が修正されていることを確認するために、セキュリティスキャンを実行することをお勧めします。アップグレードの順序は、Incusが依存している他のコンポーネントのバージョンとの互換性を考慮して決定する必要があります。アップグレード後、Incusの機能が正常に動作していることを確認するために、徹底的なテストを実施してください。