Platform
go
Component
github.com/lxc/incus
Opgelost in
6.23.1
6.23.0
CVE-2026-33897 betreft een Arbitrary File Access kwetsbaarheid in github.com/lxc/incus/v6. Deze kwetsbaarheid kan leiden tot ongeautoriseerde toegang tot bestanden op de host server. Gebruikers van oudere versies zijn kwetsbaar. De fix is beschikbaar in versie 6.23.0.
CVE-2026-33897 introduceert een kritiek risico binnen Incus-omgevingen door een kwetsbaarheid in de verwerking van pongo templates. Een aanvaller die in staat is om templates te manipuleren of in te dienen, kan willekeurige bestanden op het host-systeem lezen en schrijven. In een concreet aanvalsscenario kan dit leiden tot het uitlezen van gevoelige configuratiebestanden, SSH-sleutels of credentials van de host, wat de volledige isolatie van containers doorbreekt. Omdat de aanvaller ook bestanden kan schrijven, is er een direct pad naar volledige systeemovername (RCE) door bijvoorbeeld geautoriseerde sleutels toe te voegen aan de host of kritieke systeemconfiguraties aan te passen. De blast radius is enorm: zodra een aanvaller toegang heeft tot de template-engine, is de grens tussen de gevirtualiseerde omgeving en de fysieke host effectief opgeheven, waardoor alle data en workloads op die server gecompromitteerd kunnen worden.
Op dit moment zijn er geen publieke rapporten van actieve exploitatie in het wild, wat betekent dat deze kwetsbaarheid nog niet is opgenomen in de KEV-catalogus. Er zijn geen publieke POCs beschikbaar in de officiële beschrijving, maar de CVSS-score van 9.9 geeft aan dat de potentiële impact extreem hoog is. De urgentie is daarom zeer hoog; hoewel er geen bewijs is van actieve aanvallen, maakt de aard van de arbitrary file read/write kwetsbaarheid het een aantrekkelijk doelwit voor aanvallers die laterale beweging binnen een datacenter nastreven. Snelle patching is essentieel om te voorkomen dat exploit-code wordt ontwikkeld en verspreid.
Exploit Status
EPSS
0.06% (17% percentiel)
CISA SSVC
CVSS-vector
De primaire en meest effectieve oplossing voor CVE-2026-33897 is het onmiddellijk upgraden van Incus naar versie 6.23.0 of hoger. Beheerders moeten eerst een volledige back-up maken van hun containers en configuraties voordat de update wordt uitgevoerd. De update-volgorde begint bij het bijwerken van de package manager en het installeren van de nieuwste versie van de Incus-daemon. Indien een directe upgrade niet mogelijk is, moeten alle functies die gebruikmaken van pongo templates tijdelijk worden uitgeschakeld of strikt worden beperkt tot vertrouwde gebruikers. Na de installatie van versie 6.23.0 kan de fix worden geverifieerd door de versienummering te controleren via de command-line interface van Incus en te controleren of de template-verwerking nog steeds functioneert zonder onbevoegde toegang tot het bestandssysteem van de host.
Actualice Incus a la versión 6.23.0 o superior. Esta versión corrige la vulnerabilidad que permite la lectura y escritura arbitraria de archivos en el servidor host a través de plantillas pongo2.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Een kritieke kwetsbaarheid in Incus die willekeurige lees- en schrijfacties op bestanden mogelijk maakt via pongo templates.
Ja, als u een versie van Incus gebruikt die ouder is dan 6.23.0.
Update uw Incus-installatie naar versie 6.23.0 of een nieuwere versie.
Er zijn momenteel geen publieke rapporten van exploitatie bekend.
Raadpleeg de officiële NVD-database of de security advisories van de vendor.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.