CVE-2026-33897 Incus 任意文件访问漏洞，影响 v6 版本

CVE-2026-33897 是 Incus 存储平台中一个关键漏洞，源于其 Pongo 模板引擎的处理方式。攻击者可以通过构造恶意的 Pongo 模板，利用模板渲染过程中的文件访问权限漏洞，实现任意文件读取和写入。具体来说，攻击者可能通过提交包含恶意模板代码的请求，例如通过 Incus 的 API 或 Web 界面，诱使系统渲染这些模板。恶意模板代码可以包含文件路径访问指令，允许攻击者读取服务器上的敏感文件，例如配置文件、数据库凭证、用户数据等。更严重的是，攻击者还可以利用此漏洞写入任意文件，篡改系统配置、上传恶意代码，甚至完全控制 Incus 集群。由于 Incus 通常用于容器存储，因此该漏洞的爆发可能导致容器环境中的数据泄露、服务中断，甚至整个基础设施的被劫持。攻击范围（blast radius）可能包括 Incus 集群本身，以及依赖于 Incus 存储的容器化应用。如果攻击者能够获取数据库凭证，则可能进一步访问后端数据库，造成更广泛的数据泄露。

1. 已保留2026-03-24
2. 发布日期2026-04-07
3. EPSS 更新日期2026-04-03

为了解决 CVE-2026-33897 漏洞，最有效的措施是立即升级 Incus 到 6.23.0 或更高版本。该版本包含了修复此漏洞的补丁。如果无法立即升级，可以考虑采取一些临时缓解措施，例如限制对 Pongo 模板引擎的访问，严格控制模板输入，并实施更严格的访问控制策略。在升级之前，务必备份 Incus 的配置和数据，以防止升级过程中出现意外情况。升级后，请验证 Incus 的功能是否正常，并检查系统日志中是否有任何异常信息。建议在非高峰时段进行升级，并做好回滚计划，以应对升级失败的情况。升级过程中，请仔细阅读官方的升级指南，并按照指南的步骤进行操作，确保升级过程的顺利进行。验证步骤包括检查文件访问权限，确保只有授权用户才能访问敏感文件，并测试 Incus 的核心功能，例如卷创建、快照、备份等。