Plataforma
go
Componente
github.com/lxc/incus
Corrigido em
6.23.1
6.23.0
A vulnerabilidade CVE-2026-33897 afeta o Incus v6, permitindo acesso arbitrário a arquivos no servidor. Essa falha permite a leitura e escrita arbitrária de arquivos como root no host. As versões afetadas são as anteriores à 6.23.0. A correção está disponível na versão 6.23.0, que corrige a falha de segurança.
A vulnerabilidade CVE-2026-33897 no Incus permite a leitura e escrita arbitrária de arquivos devido a falhas nos templates Pongo. Um atacante com acesso de rede ao servidor Incus pode explorar esta vulnerabilidade para ler arquivos confidenciais, como arquivos de configuração contendo credenciais de banco de dados ou chaves de API, e potencialmente modificar arquivos críticos do sistema. A escrita arbitrária de arquivos permite que um atacante execute código malicioso no servidor, comprometendo completamente o sistema. O raio de explosão é significativo, pois um atacante pode obter acesso a dados sensíveis armazenados no servidor e, dependendo das permissões do usuário Incus, pode até mesmo escalar privilégios para obter controle total sobre a máquina host. A exploração bem-sucedida pode levar à exfiltração de dados, interrupção do serviço e comprometimento da infraestrutura subjacente. A capacidade de escrever arquivos permite a instalação de backdoors persistentes, garantindo acesso futuro ao sistema mesmo após a aplicação de patches. O impacto é amplificado em ambientes onde o Incus é usado para gerenciar máquinas virtuais ou contêineres, pois a exploração pode levar ao comprometimento de várias máquinas virtuais ou contêineres sob o controle do Incus.
Atualmente, não há relatos públicos de exploração ativa da vulnerabilidade CVE-2026-33897 (KEV). No entanto, a natureza crítica da vulnerabilidade (CVSS 9.9) e a facilidade potencial de exploração indicam que a exploração pode ocorrer no futuro. A ausência de um Proof of Concept (POC) público não diminui a gravidade do problema, pois um atacante pode desenvolver um exploit internamente. Dada a facilidade potencial de exploração e o alto impacto, é crucial aplicar o patch o mais rápido possível. A falta de exploração pública até o momento não deve ser interpretada como um sinal de segurança, mas sim como uma oportunidade para fortalecer a postura de segurança antes que a vulnerabilidade seja explorada.
Status do Exploit
EPSS
0.06% (percentil 17%)
CISA SSVC
Vetor CVSS
A correção para CVE-2026-33897 é a atualização para a versão 6.23.0 ou superior do Incus. Esta versão inclui correções para a vulnerabilidade nos templates Pongo. Se a atualização imediata não for possível, uma mitigação temporária pode ser a restrição do acesso de rede ao servidor Incus, limitando o acesso apenas a usuários e sistemas confiáveis. Monitore cuidadosamente os logs do Incus para detectar qualquer atividade suspeita. Após a atualização, verifique se os arquivos críticos do sistema não foram modificados. É altamente recomendável realizar uma auditoria de segurança completa após a aplicação do patch para garantir que a vulnerabilidade foi totalmente mitigada e que não existem outras vulnerabilidades presentes. A aplicação do patch deve ser priorizada, pois a ausência de uma correção representa um risco significativo para a segurança do sistema.
Atualize o Incus para a versão 6.23.0 ou superior. Esta versão corrige a vulnerabilidade que permite a leitura e escrita arbitrária de arquivos no servidor host através de templates pongo2.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-33897 is a critical vulnerability in Incus that allows for arbitrary file read and write through improper handling of Pongo templates.
Versions of Incus prior to 6.23.0 are affected by this vulnerability.
Upgrade Incus to version 6.23.0 or later to resolve this vulnerability.
As of now, there are no public exploitation reports or proof-of-concept code available for CVE-2026-33897.
Refer to the National Vulnerability Database (NVD) entry for CVE-2026-33897 for more details: https://nvd.nist.gov/vuln/detail/CVE-2026-33897
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.