Platform
go
Component
github.com/lxc/incus
Opgelost in
6.23.1
6.23.0
CVE-2026-33945 betreft een kwetsbaarheid in Incus, waardoor aanvallers buiten de credential directory kunnen schrijven. Dit kan leiden tot local privilege escalation of DoS. Gebruikers van oudere versies zijn kwetsbaar. De fix is beschikbaar in versie 6.23.0.
CVE-2026-33945 in Incus stelt aanvallers in staat om willekeurige bestanden op het systeem te schrijven via de systemd-creds opties in github.com/lxc/incus. Dit komt doordat de validatie van de paden die door systemd-creds worden gebruikt, onvoldoende is. Een succesvolle exploit kan leiden tot het overschrijven van kritieke systeembestanden, waardoor de integriteit van het systeem in gevaar komt. Een aanvaller kan bijvoorbeeld configuratiebestanden van andere services overschrijven, waardoor deze gecompromitteerd raken. Het potentieel voor schade is aanzienlijk, aangezien een aanvaller, afhankelijk van de overschreven bestanden, controle over het hele systeem kan verkrijgen. Dit omvat het installeren van malware, het wijzigen van systeeminstellingen, het stelen van gevoelige gegevens (zoals wachtwoorden en API-sleutels) en het gebruiken van het gecompromitteerde systeem als springplank voor aanvallen op andere systemen in hetzelfde netwerk. De blast radius is dus potentieel het hele netwerk, afhankelijk van de privileges die de gecompromitteerde Incus-instantie heeft en de toegang die deze tot andere systemen heeft. Het is cruciaal om deze kwetsbaarheid snel te patchen om verdere schade te voorkomen.
Op dit moment zijn er geen openbare rapporten over exploitatie van CVE-2026-33945 bekend (KEV). Dit betekent dat er momenteel geen publiek beschikbare Proof-of-Concept (POC) code is die de kwetsbaarheid demonstreert. Echter, de kritieke ernstscore (CVSS 9.9) wijst erop dat de kwetsbaarheid ernstig is en potentieel gemakkelijk te exploiteren kan zijn zodra er een exploit beschikbaar komt. Het is daarom van cruciaal belang om de kwetsbaarheid zo snel mogelijk te patchen, zelfs als er momenteel geen actieve exploitatie plaatsvindt. De afwezigheid van openbare exploits betekent niet dat de kwetsbaarheid niet actief wordt onderzocht door kwaadwillenden. De urgentie om te patchen is hoog, gezien de potentiële impact van een succesvolle exploit.
Exploit Status
EPSS
0.07% (21% percentiel)
CISA SSVC
CVSS-vector
Om CVE-2026-33945 te verhelpen, wordt dringend aanbevolen om Incus te upgraden naar versie 6.23.0 of hoger. Deze versie bevat de benodigde correcties om de kwetsbaarheid te verhelpen. Indien een upgrade op korte termijn niet mogelijk is, is het raadzaam om de systemd-creds optie in Incus tijdelijk uit te schakelen. Dit vermindert het aanvalsoppervlak, maar kan de functionaliteit van Incus beïnvloeden. Controleer na de upgrade of de Incus-service correct functioneert en of er geen onverwachte problemen zijn. Verifieer de integriteit van de geüpgrade binaries om er zeker van te zijn dat er geen ongeautoriseerde wijzigingen zijn aangebracht. Het is belangrijk om de upgrade in een gecontroleerde omgeving te testen voordat deze in productie wordt geïmplementeerd, om eventuele compatibiliteitsproblemen te identificeren en op te lossen. Overweeg ook om de toegang tot de Incus-instantie te beperken tot vertrouwde gebruikers en systemen.
Actualice Incus a la versión 6.23.0 o superior. Esta versión corrige la vulnerabilidad que permite la escritura arbitraria de archivos. La actualización se puede realizar a través del gestor de paquetes del sistema o descargando la nueva versión desde el sitio web oficial.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-33945 is a critical vulnerability in Incus that allows for arbitrary file writes through its systemd-creds options.
Versions of Incus prior to 6.23.0 are affected by this vulnerability.
Upgrade Incus to version 6.23.0 or later to resolve this issue.
As of now, there are no publicly known exploits for CVE-2026-33945, but the vulnerability is considered critical.
Refer to the National Vulnerability Database (NVD) entry for CVE-2026-33945 for more details.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.