Plataforma
go
Componente
github.com/lxc/incus/v6/cmd/incusd
Corrigido em
6.1.1
6.0.6
6.20.1
A vulnerabilidade CVE-2026-23954 é uma falha de execução remota de código (RCE) presente no componente github.com/lxc/incus/v6/cmd/incusd do Incus. Um atacante com capacidade de criar containers utilizando imagens personalizadas pode explorar a funcionalidade de templates para ler e escrever arquivos no sistema host, levando à execução arbitrária de comandos. A vulnerabilidade afeta versões anteriores à 6.1.1 e foi divulgada em 22 de janeiro de 2026. A correção está disponível na versão 6.1.1.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante obtenha controle total sobre o sistema host. Ao manipular os templates em arquivos metadata.yaml dentro de imagens de container, um invasor pode contornar as verificações de segurança e realizar operações de leitura e escrita de arquivos arbitrários. Isso pode incluir a modificação de arquivos de sistema, a instalação de malware ou a obtenção de acesso a dados confidenciais armazenados no host. A possibilidade de execução de comandos arbitrários no host representa um risco significativo, especialmente em ambientes onde o Incus é utilizado para orquestrar containers com acesso a recursos críticos do sistema. A vulnerabilidade também afeta o IncusOS, ampliando o escopo do impacto.
A vulnerabilidade CVE-2026-23954 foi divulgada em 22 de janeiro de 2026. A probabilidade de exploração é considerada média, dada a complexidade da exploração e a necessidade de acesso a recursos de criação de containers. Não há evidências de exploração ativa em campanhas direcionadas no momento da divulgação. A vulnerabilidade foi adicionada ao KEV (Know Exploited Vulnerabilities) da CISA, indicando que a vulnerabilidade é considerada uma ameaça ativa. Um Proof of Concept (PoC) público pode estar disponível, aumentando o risco de exploração.
Organizations utilizing Incus for container orchestration, particularly those with container users possessing elevated privileges or access to sensitive data, are at risk. Shared hosting environments where multiple users can launch containers with custom images are also particularly vulnerable. Environments using older, unpatched Incus versions are at the highest risk.
• linux / server:
journalctl -u incusd | grep -i "template parsing error"• linux / server:
lsof -i :8080 | grep incusd # Check for Incus process listening on standard port• generic web:
curl -I http://<incus_ip>:8080/api/v1/ | grep -i "server: incus"disclosure
Status do Exploit
EPSS
0.05% (percentil 15%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2026-23954 é a atualização para a versão 6.1.1 do Incus, que inclui a correção para esta vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais como uma camada de proteção. Restrinja as permissões dos usuários que podem criar containers, limitando o acesso à funcionalidade de templates. Implemente regras de firewall para restringir o acesso à API do Incus apenas a fontes confiáveis. Monitore os logs do Incus em busca de atividades suspeitas, como tentativas de acesso a arquivos não autorizados. Após a atualização, confirme a correção verificando se os templates não permitem mais a leitura ou escrita de arquivos fora do diretório esperado.
Actualice Incus a una versión superior a 6.20.0 o a la versión 6.0.6, cuando estén disponibles. Esto corregirá la vulnerabilidad de lectura y escritura arbitraria de archivos en el host a través de la funcionalidad de plantillas.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-23954 is a high-severity remote code execution vulnerability in Incus versions prior to 6.1.1. It allows attackers to execute arbitrary commands on the host system through manipulation of container image templates.
If you are running Incus versions prior to 6.1.1, you are potentially affected by this vulnerability. Assess your environment and prioritize upgrading to the patched version.
Upgrade Incus to version 6.1.1 or later to address this vulnerability. Review and restrict container user privileges as an interim measure.
While no active exploitation has been publicly confirmed, the vulnerability's nature suggests a potential for rapid exploitation. Monitor your systems closely.
Refer to the official Incus security advisory for detailed information and updates: [https://github.com/lxc/incus/security/advisories/GHSA-xxxx-xxxx-xxxx](Replace with actual advisory URL when available)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.