Platform
go
Component
github.com/lxc/incus
Opgelost in
6.23.1
6.23.0
CVE-2026-33542 is een kwetsbaarheid in Incus, een containerbeheersysteem. Deze kwetsbaarheid ontstaat doordat Incus de fingerprints niet correct valideert bij het downloaden van container images van simplestreams servers. Een aanvaller kan hier misbruik van maken om gemanipuleerde images te injecteren, wat kan leiden tot compromittering van de containeromgeving. De kwetsbaarheid treft versies van Incus die ouder zijn dan 6.23.0, en een upgrade naar deze versie is vereist om de kwetsbaarheid te verhelpen.
De impact van deze kwetsbaarheid is significant. Een aanvaller kan een kwaadaardige container image uploaden naar een simplestreams server en vervolgens deze image downloaden via Incus. Omdat de fingerprint validatie ontbreekt, zal Incus de image accepteren zonder verificatie. Dit stelt de aanvaller in staat om code uit te voeren binnen de container, potentieel met de privileges van de gebruiker die de container uitvoert. Dit kan leiden tot data-exfiltratie, systeemcompromittering en verdere aanval op de onderliggende infrastructuur. De kwetsbaarheid kan ook gebruikt worden om de beschikbaarheid van de containeromgeving te verstoren door het injecteren van instabiele of schadelijke images.
Op het moment van publicatie is er geen publieke proof-of-concept (POC) beschikbaar voor deze kwetsbaarheid. De KEV-status is momenteel onbekend. De publicatiedatum van de CVE is 2026-04-07, wat suggereert dat de kwetsbaarheid recent is ontdekt. Er zijn geen bekende actieve campagnes gerelateerd aan deze specifieke kwetsbaarheid, maar het is belangrijk om de situatie te blijven monitoren.
Organizations heavily reliant on containerized applications managed by Incus, particularly those using Simplestreams for image storage and distribution, are at risk. Environments with limited image scanning capabilities or weak network segmentation policies are especially vulnerable.
• go / application: Examine Incus logs for errors related to image downloads and fingerprint verification. Use go tool pprof to analyze Incus's performance and identify potential bottlenecks related to fingerprinting.
• generic web: Monitor Simplestreams server logs for unusual image upload patterns or requests from Incus instances.
• linux / server: Use journalctl -u incus to check for error messages related to image downloads and fingerprint verification failures. Implement auditd rules to monitor access to the Simplestreams API.
disclosure
Exploit Status
EPSS
0.04% (11% percentiel)
CISA SSVC
De primaire mitigatie voor CVE-2026-33542 is het upgraden van Incus naar versie 6.23.0 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van een Web Application Firewall (WAF) die het downloaden van images van onbetrouwbare bronnen blokkeert. Controleer ook de configuratie van de simplestreams servers om te zorgen dat ze correct geconfigureerd zijn en dat de fingerprints correct worden gegenereerd en opgeslagen. Het is aan te raden om de integriteit van de container images te verifiëren voordat ze worden gebruikt, bijvoorbeeld door middel van image signing en scanning. Na de upgrade, verifieer de fix door een poging te doen om een gemanipuleerde image te downloaden en te controleren of Incus deze correct afwijst.
Werk Incus bij naar versie 6.23.0 of hoger. Deze versie corrigeert het ontbreken van vingerafdrukvalidatie van de image bij het downloaden van simplestreams imageservers, waardoor imagecache vergiftiging en de mogelijke uitvoering van images die door aanvallers worden gecontroleerd, wordt voorkomen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-33542 is a HIGH severity vulnerability in Incus affecting versions before 6.23.0. It allows attackers to potentially compromise container images by exploiting insufficient fingerprint verification when downloading from Simplestreams.
You are affected if you are running Incus versions prior to 6.23.0 and using Simplestreams for image storage and distribution. Upgrade to 6.23.0 to eliminate this risk.
Upgrade Incus to version 6.23.0 or later. This version includes the necessary fingerprint verification fix to prevent image compromise.
No public proof-of-concept exploits are currently known, but the vulnerability's nature makes it a potential target for exploitation. Continuous monitoring is recommended.
Refer to the official Incus project website and security advisories for the latest information and updates regarding CVE-2026-33542.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.