Platform
go
Component
github.com/lxc/incus/v6/cmd/incusd
Opgelost in
6.1.1
6.0.6
6.20.1
CVE-2026-23954 is een kwetsbaarheid in Incus v6, specifiek in de github.com/lxc/incus/v6/cmd/incusd component. Deze kwetsbaarheid stelt een gebruiker met de mogelijkheid om containers te lanceren met aangepaste images in staat om via directory traversal of symbolische links hostbestanden te lezen en schrijven, wat uiteindelijk kan leiden tot willekeurige commando-uitvoering op de host. De kwetsbaarheid is ook van toepassing op IncusOS. Een fix is beschikbaar in versie 6.1.1.
Een succesvolle exploitatie van CVE-2026-23954 kan leiden tot ernstige gevolgen. Een aanvaller kan, door het uitbuiten van directory traversal of symbolische links in de templating functionaliteit, gevoelige hostbestanden lezen. Verder kan de aanvaller bestanden schrijven naar willekeurige locaties op de host, waardoor het mogelijk wordt om kwaadaardige code uit te voeren. Dit kan resulteren in volledige controle over de hostmachine, inclusief data-exfiltratie, configuratiewijzigingen en verdere aanval op andere systemen in het netwerk. De impact is vergelijkbaar met scenario's waarbij een container escape mogelijk is, waardoor de aanvaller de containeromgeving verlaat en toegang krijgt tot het onderliggende host-systeem.
CVE-2026-23954 is openbaar bekend en de details van de kwetsbaarheid zijn gepubliceerd. Er is geen vermelding op CISA KEV op het moment van schrijven. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de beschrijving van de kwetsbaarheid maakt het relatief eenvoudig om een dergelijke exploit te ontwikkelen. De publicatiedatum van de CVE is 2026-01-22, wat aangeeft dat de kwetsbaarheid recentelijk is ontdekt en openbaar is gemaakt.
Organizations utilizing Incus for container orchestration, particularly those with container users possessing elevated privileges or access to sensitive data, are at risk. Shared hosting environments where multiple users can launch containers with custom images are also particularly vulnerable. Environments using older, unpatched Incus versions are at the highest risk.
• linux / server:
journalctl -u incusd | grep -i "template parsing error"• linux / server:
lsof -i :8080 | grep incusd # Check for Incus process listening on standard port• generic web:
curl -I http://<incus_ip>:8080/api/v1/ | grep -i "server: incus"disclosure
Exploit Status
EPSS
0.05% (15% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-23954 is het upgraden naar Incus versie 6.1.1 of hoger. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het beperken van de rechten van gebruikers die containers kunnen lanceren met aangepaste images. Controleer de metadata.yaml bestanden in de images op potentieel kwaadaardige templates. Implementeer een security scanner die directory traversal en symbolische links in templates detecteert. Overweeg het gebruik van een Web Application Firewall (WAF) om verdachte requests te blokkeren. Na de upgrade, verifieer de fix door een container te lanceren met een image die een kwaadaardige metadata.yaml bevat en controleer of de directory traversal/symlink exploitatie mislukt.
Actualice Incus a una versión superior a 6.20.0 o a la versión 6.0.6, cuando estén disponibles. Esto corregirá la vulnerabilidad de lectura y escritura arbitraria de archivos en el host a través de la funcionalidad de plantillas.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-23954 is a high-severity remote code execution vulnerability in Incus versions prior to 6.1.1. It allows attackers to execute arbitrary commands on the host system through manipulation of container image templates.
If you are running Incus versions prior to 6.1.1, you are potentially affected by this vulnerability. Assess your environment and prioritize upgrading to the patched version.
Upgrade Incus to version 6.1.1 or later to address this vulnerability. Review and restrict container user privileges as an interim measure.
While no active exploitation has been publicly confirmed, the vulnerability's nature suggests a potential for rapid exploitation. Monitor your systems closely.
Refer to the official Incus security advisory for detailed information and updates: [https://github.com/lxc/incus/security/advisories/GHSA-xxxx-xxxx-xxxx](Replace with actual advisory URL when available)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.