Plataforma
go
Componente
github.com/lxc/incus
Corrigido em
6.23.1
6.23.0
A vulnerabilidade CVE-2026-33898 afeta o Incus, um gerenciador de máquinas virtuais e contêineres. Essa falha ocorre na validação do token de autenticação do web server, permitindo acesso não autorizado. As versões afetadas são as anteriores ou iguais a 6.23.0. A correção está disponível na versão 6.23.0, que corrige a falha de segurança.
A vulnerabilidade CVE-2026-33898 em Incus permite que um usuário local não autenticado contorne a autenticação na interface web do servidor. Isso significa que um atacante com acesso físico ou de rede à máquina onde o Incus UI está rodando pode, sem fornecer credenciais válidas, acessar e interagir com a interface administrativa. O risco principal reside na possibilidade de manipulação de configurações de armazenamento, criação ou exclusão de volumes, e potencialmente acesso a dados armazenados, dependendo das permissões configuradas para o usuário local. O raio de impacto é limitado ao ambiente onde o Incus UI está exposto, mas o potencial para interrupção do serviço e comprometimento de dados é significativo, especialmente em ambientes de produção onde o Incus é usado para gerenciar armazenamento de containers. Um atacante poderia, por exemplo, criar um volume malicioso, corromper dados existentes ou até mesmo interromper o serviço de armazenamento, impactando diretamente as aplicações que dependem do Incus para persistência de dados. A ausência de autenticação efetiva abre uma brecha crítica para a exploração, permitindo a um atacante local assumir o controle da gestão de armazenamento.
Atualmente, não há relatos públicos de exploração ativa da vulnerabilidade CVE-2026-33898 (KEV). No entanto, a natureza da vulnerabilidade – uma bypass de autenticação – a torna um alvo atraente para atacantes locais. A ausência de um Proof of Concept (POC) público não diminui a importância de aplicar a correção, pois a criação de um exploit é relativamente simples. A urgência de aplicar a correção é alta, especialmente em ambientes de produção onde o Incus é usado para gerenciar armazenamento crítico. A falta de exploração pública pode ser devido à natureza local da vulnerabilidade, limitando seu impacto em ambientes distribuídos, mas a possibilidade de exploração interna não deve ser ignorada. Monitorar fontes de inteligência de ameaças e fóruns de segurança é recomendado para detectar qualquer atividade suspeita relacionada a esta vulnerabilidade.
Organizations deploying Incus for container storage orchestration are at risk. This includes Kubernetes environments utilizing Incus for persistent volumes and storage management. Specifically, environments with exposed Incus UI endpoints without proper network segmentation or access controls are particularly vulnerable.
• linux / server:
journalctl -u incus -g 'authentication bypass'• generic web:
curl -I http://<incus_ip>/ui/ | grep 'WWW-Authenticate'• generic web:
curl -I http://<incus_ip>/ui/ | grep 'Authorization: Basic'disclosure
Status do Exploit
EPSS
0.07% (percentil 22%)
CISA SSVC
Vetor CVSS
A correção para a vulnerabilidade CVE-2026-33898 é a atualização para a versão 6.23.0 do Incus. Esta versão inclui as correções necessárias para garantir a autenticação adequada na interface web. Se a atualização imediata para a versão 6.23.0 não for possível, a mitigação temporária pode envolver a restrição do acesso à interface web do Incus apenas a redes internas confiáveis e a implementação de controles de acesso adicionais no nível do sistema operacional para limitar o acesso à máquina onde o Incus UI está rodando. É crucial verificar a atualização após a instalação, acessando a interface web e tentando realizar ações sem fornecer credenciais para confirmar que a autenticação está funcionando corretamente. A sequência recomendada é: 1) Fazer backup da configuração atual do Incus. 2) Atualizar para a versão 6.23.0. 3) Verificar a funcionalidade da interface web com e sem credenciais. 4) Restaurar o backup (se necessário, após verificar que a funcionalidade básica está correta).
Atualize o Incus para a versão 6.23.0 ou superior. Esta versão corrige a validação incorreta do token de autenticação no servidor web local, evitando o bypass de autenticação.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-33898 is a HIGH severity authentication bypass vulnerability in Incus versions prior to 6.23.0, allowing attackers to access the UI without credentials.
If you are running Incus versions earlier than 6.23.0, you are potentially affected by this vulnerability. Check your current version and upgrade immediately.
Upgrade Incus to version 6.23.0 or later to resolve this authentication bypass vulnerability. Follow the official Incus upgrade instructions.
While no active exploitation has been confirmed, the ease of exploitation makes it a potential target. Proactive patching is highly recommended.
Refer to the official Incus project website and GitHub repository for security advisories and updates related to CVE-2026-33898.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.