平台
go
组件
github.com/lxc/incus
修复版本
6.23.1
6.23.0
CVE-2026-33542 是一个高危漏洞,存在于 github.com/lxc/incus 项目中。该漏洞源于 Incus 在从 simplestreams 服务器下载镜像时,未能正确验证组合指纹,可能导致攻击者利用恶意镜像进行攻击。受影响的版本包括 Incus 6.23.0 之前的版本。建议用户尽快升级至 6.23.0 以缓解风险。
该漏洞允许攻击者通过提供伪造的镜像指纹,诱使 Incus 下载并运行恶意镜像。攻击者可以利用此漏洞执行任意代码,窃取敏感数据,甚至完全控制受影响的系统。由于 Incus 通常用于容器管理和编排,因此该漏洞的潜在影响范围非常广泛,可能影响到整个容器环境的安全。攻击者可能利用此漏洞进行横向移动,攻击其他容器或主机,造成更大的损失。该漏洞的严重性类似于供应链攻击,攻击者可以通过控制镜像源来影响下游用户。
该漏洞已公开披露,但目前尚无公开的利用代码。CISA 尚未将其添加到 KEV 目录。根据漏洞的严重性和潜在影响,该漏洞可能被攻击者积极利用。建议密切关注安全社区的动态,及时获取最新的威胁情报。
Organizations heavily reliant on containerized applications managed by Incus, particularly those using Simplestreams for image storage and distribution, are at risk. Environments with limited image scanning capabilities or weak network segmentation policies are especially vulnerable.
• go / application: Examine Incus logs for errors related to image downloads and fingerprint verification. Use go tool pprof to analyze Incus's performance and identify potential bottlenecks related to fingerprinting.
• generic web: Monitor Simplestreams server logs for unusual image upload patterns or requests from Incus instances.
• linux / server: Use journalctl -u incus to check for error messages related to image downloads and fingerprint verification failures. Implement auditd rules to monitor access to the Simplestreams API.
disclosure
漏洞利用状态
EPSS
0.04% (11% 百分位)
CISA SSVC
最有效的缓解措施是立即升级 Incus 至 6.23.0 或更高版本。如果无法立即升级,可以考虑以下临时缓解措施:首先,限制 Incus 从不受信任的 simplestreams 服务器下载镜像。其次,实施严格的镜像签名验证策略,确保下载的镜像来自可信来源。第三,监控 Incus 的日志,查找异常活动,例如来自未知源的镜像下载。可以使用 WAF 或代理来拦截和阻止来自恶意镜像源的请求。升级后,确认指纹验证功能已正确启用,并检查系统日志以确认没有异常。
升级 Incus 到 6.23.0 或更高版本。此版本修复了从 simplestreams 镜像服务器下载时缺少镜像指纹验证的问题,从而避免了镜像缓存中毒以及攻击者可能执行受控镜像的风险。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-33542 是 Incus 在从 simplestreams 服务器下载镜像时,未验证组合指纹的安全漏洞,可能导致恶意镜像下载。
如果您正在使用 Incus 6.23.0 之前的版本,则可能受到此漏洞的影响。请立即检查您的版本并升级。
升级 Incus 至 6.23.0 或更高版本是修复此漏洞的最佳方法。
目前尚无公开的利用代码,但由于漏洞的严重性,可能被攻击者积极利用。
请访问 Incus 的官方网站或 GitHub 仓库,查找关于 CVE-2026-33542 的安全公告。
上传你的 go.mod 文件,立即知道是否受影响。