プラットフォーム
go
コンポーネント
github.com/lxc/incus
修正版
6.23.1
6.23.0
CVE-2026-33898は、github.com/lxc/incusのUI Webサーバーにおける認証回避の脆弱性です。この脆弱性を悪用されると、攻撃者は認証なしで機密情報にアクセスできる可能性があります。影響を受けるバージョンは6.23.0以前です。2026年4月7日に公開され、6.23.0へのアップデートで修正されました。
この認証回避の脆弱性は、攻撃者がIncus UI Webサーバーに認証なしでアクセスすることを可能にします。これにより、機密情報(設定、コンテナの状態、ネットワーク情報など)への不正アクセス、改ざん、さらにはシステムの制御権奪取につながる可能性があります。攻撃者は、認証されたユーザーとしてシステムを操作し、他のコンテナやリソースに影響を与える可能性があります。この脆弱性は、特にIncus UIがインターネットに公開されている環境において、重大なリスクをもたらします。
CVE-2026-33898は、2026年4月7日に公開されました。現時点では、この脆弱性を悪用する公開されているPoCは確認されていません。CISA KEVリストへの登録状況は不明です。この脆弱性の悪用可能性は、認証のバイパスという性質上、中程度と評価されます。
Organizations deploying Incus for container storage orchestration are at risk. This includes Kubernetes environments utilizing Incus for persistent volumes and storage management. Specifically, environments with exposed Incus UI endpoints without proper network segmentation or access controls are particularly vulnerable.
• linux / server:
journalctl -u incus -g 'authentication bypass'• generic web:
curl -I http://<incus_ip>/ui/ | grep 'WWW-Authenticate'• generic web:
curl -I http://<incus_ip>/ui/ | grep 'Authorization: Basic'disclosure
エクスプロイト状況
EPSS
0.07% (22% パーセンタイル)
CISA SSVC
この脆弱性への最も効果的な対策は、Incusをバージョン6.23.0以降にアップデートすることです。アップデートがすぐに利用できない場合、Incus UIへのアクセスを制限し、ファイアウォールで保護することを検討してください。また、UIへのアクセスを必要とするユーザーのみにアクセス権を付与し、不要なサービスを無効にすることで、攻撃対象領域を減らすことができます。アップデート後、Incusのログを監視し、不正なアクセスがないか確認してください。
Incusをバージョン6.23.0以降にアップデートしてください。このバージョンでは、ローカルWebインターフェースにおける認証回避の脆弱性が修正されています。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-33898は、Incus UI Webサーバーにおける認証回避の脆弱性であり、攻撃者が認証なしで機密情報にアクセスできる可能性があります。
Incusのバージョンが6.23.0以前の場合、この脆弱性に影響されています。
Incusをバージョン6.23.0以降にアップデートしてください。
現時点では、この脆弱性を悪用する公開されているPoCは確認されていません。
github.com/lxc/incusのリリースノートを参照してください。
CVSS ベクトル
go.mod ファイルをアップロードすると、影響の有無を即座にお知らせします。