Lokale Incus UI webserver kwetsbaar voor nuthenticatie bypass
Platform
go
Component
github.com/lxc/incus
Opgelost in
6.23.1
6.23.0
CVE-2026-33898 betreft een kwetsbaarheid in Incus, specifiek in de webserver van incus webui. Deze kwetsbaarheid maakt het mogelijk om een ongeldige authenticatie token te accepteren. Gebruikers van oudere versies zijn kwetsbaar. De fix is beschikbaar in versie 6.23.0.
Detecteer deze CVE in je project
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.
Impact en Aanvalsscenarios
CVE-2026-33898 introduceert een kritiek beveiligingsrisico in de lokale Incus UI webserver. Door een fout in het authenticatieproces binnen de github.com/lxc/incus codebase kunnen aanvallers de authenticatie volledig omzeilen. In een concreet aanvalsscenario kan een lokale gebruiker of een actor met toegang tot het netwerkinterface van de UI ongeautoriseerde toegang krijgen tot het beheerspaneel van Incus. De blast radius is aanzienlijk omdat de UI directe controle biedt over containers en virtuele machines. Een aanvaller kan potentieel configuraties wijzigen, gevoelige systeemgegevens inzien of beheerdersrechten misbruiken om volledige controle over de gehoste workloads te verkrijgen. Aangezien de UI bedoeld is voor administratie, leidt een bypass hier direct tot een escalatie van privileges, waarbij de scheiding tussen reguliere gebruikers en systeembeheerders volledig wegvalt.
Uitbuitingscontext
Op dit moment zijn er geen publieke rapporten van actieve exploitatie in het wild, wat betekent dat deze kwetsbaarheid nog niet is opgenomen in de KEV-catalogus. Er zijn geen publieke POCs bekend die direct gekoppeld zijn aan deze specifieke bypass in de Incus UI. Ondanks het ontbreken van actieve aanvallen is de urgentie hoog vanwege de CVSS-score van 8.8. Een authenticatiebypass in een beheerinterface is een zeer aantrekkelijk doelwit voor aanvallers zodra de methode publiekelijk bekend wordt, wat snelle patching noodzakelijk maakt.
Wie Loopt Risicowordt vertaald…
Organizations deploying Incus for container storage orchestration are at risk. This includes Kubernetes environments utilizing Incus for persistent volumes and storage management. Specifically, environments with exposed Incus UI endpoints without proper network segmentation or access controls are particularly vulnerable.
Detectiestappenwordt vertaald…
• linux / server:
journalctl -u incus -g 'authentication bypass'• generic web:
curl -I http://<incus_ip>/ui/ | grep 'WWW-Authenticate'• generic web:
curl -I http://<incus_ip>/ui/ | grep 'Authorization: Basic'Aanvalstijdlijn
- Disclosure
disclosure
Dreigingsinformatie
Exploit Status
EPSS
0.07% (22% percentiel)
CISA SSVC
CVSS-vector
Wat betekenen deze metrics?
- Attack Vector
- Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
- Attack Complexity
- Laag — geen speciale voorwaarden vereist. Betrouwbaar uitbuitbaar.
- Privileges Required
- Geen — geen authenticatie vereist om te exploiteren.
- User Interaction
- Vereist — slachtoffer moet een bestand openen, op een link klikken of een pagina bezoeken.
- Scope
- Ongewijzigd — impact beperkt tot het kwetsbare component.
- Confidentiality
- Hoog — volledig verlies van vertrouwelijkheid. Aanvaller kan alle gegevens lezen.
- Integrity
- Hoog — aanvaller kan alle gegevens schrijven, aanpassen of verwijderen.
- Availability
- Hoog — volledige crash of uitputting van resources. Totale denial of service.
Getroffen Software
Zwakheidsclassificatie (CWE)
Tijdlijn
- Gereserveerd
- Gepubliceerd
- EPSS bijgewerkt
Mitigatie en Workarounds
De primaire oplossing voor CVE-2026-33898 is het onmiddellijk upgraden van de Incus-installatie naar versie 6.23.0 of hoger, waarin de authenticatiebypass is verholpen. Beheerders moeten eerst een back-up maken van hun huidige configuraties voordat ze de update uitvoeren. Indien een directe upgrade niet mogelijk is, kan het tijdelijk uitschakelen van de UI webserver of het beperken van de netwerktoegang tot de UI via een firewall een effectieve workaround zijn om de aanvalsoppervlakte te verkleinen. Na de update is het essentieel om te verifiëren dat de versie 6.23.0 actief is via de command-line interface en om te testen of de authenticatiemechanismen van de UI weer correct functioneren door pogingen tot ongeautoriseerde toegang te blokkeren.
Hoe te verhelpen
Werk Incus bij naar versie 6.23.0 of hoger. Deze versie corrigeert de onjuiste validatie van het authenticatietoken op de lokale webserver, waardoor de authenticatie bypass wordt voorkomen.
CVE Beveiligingsnieuwsbrief
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Veelgestelde vragen
Wat is CVE-2026-33898 in github.com/lxc/incus?
Het is een kwetsbaarheid in de Incus UI webserver die een bypass van de authenticatie mogelijk maakt.
Ben ik getroffen door CVE-2026-33898 in github.com/lxc/incus?
Ja, als u een versie van Incus gebruikt die ouder is dan 6.23.0 en de UI webserver heeft geactiveerd.
Hoe los ik CVE-2026-33898 in github.com/lxc/incus op?
Update uw Incus-installatie naar versie 6.23.0 of een nieuwere versie.
Wordt CVE-2026-33898 actief misbruikt?
Er zijn momenteel geen publieke rapporten van exploitatie bekend.
Waar vind ik het officiële github.com/lxc/incus-beveiligingsadvies voor CVE-2026-33898?
Raadpleeg de officiële NVD-database of de security advisories van de vendor.
Is jouw project getroffen?
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.