CVE-2026-33898 Incus WebUI 身份验证绕过漏洞，影响6.23.0以下

CVE-2026-33898 是 Incus UI Web 服务器中的身份验证绕过漏洞。攻击者可以利用此漏洞无需提供有效的身份验证凭据即可访问 Incus UI。由于 Incus 通常用于管理 Kubernetes 集群和容器，因此攻击者可能能够利用此漏洞访问敏感数据，例如 Kubernetes 配置文件、容器镜像信息以及存储卷信息。更严重的场景下，攻击者可能能够通过 Incus UI 控制 Kubernetes 集群，从而导致集群配置更改、容器被篡改甚至完全控制集群。 攻击者可能利用此漏洞获取集群内部网络访问权限，进而访问集群中的其他服务。由于 Incus UI 通常暴露在集群内部网络中，因此该漏洞的潜在影响范围可能包括整个 Kubernetes 集群及其关联的应用程序和服务。 攻击者无需在外部网络上暴露 Incus UI 即可利用此漏洞，因此攻击者可能来自集群内部，例如恶意内部人员或被入侵的容器。 此漏洞的严重性较高，因为它可以允许未经授权的访问和控制关键基础设施。

Organizations deploying Incus for container storage orchestration are at risk. This includes Kubernetes environments utilizing Incus for persistent volumes and storage management. Specifically, environments with exposed Incus UI endpoints without proper network segmentation or access controls are particularly vulnerable.

• linux / server:

journalctl -u incus -g 'authentication bypass'

• generic web:

curl -I http://<incus_ip>/ui/ | grep 'WWW-Authenticate'

• generic web:

curl -I http://<incus_ip>/ui/ | grep 'Authorization: Basic'

1. 2026-04-07Disclosure

   disclosure

1. 已保留2026-03-24
2. 发布日期2026-04-07
3. EPSS 更新日期2026-04-03

修复 CVE-2026-33898 的最佳方法是升级到 Incus 6.23.0 或更高版本。此版本包含了修复此漏洞的补丁。如果无法立即升级，建议采取以下缓解措施：限制对 Incus UI 的访问，仅允许授权用户访问。 实施强身份验证机制，例如多因素身份验证。 监控 Incus UI 的访问日志，以便及时发现可疑活动。 确保 Incus UI 运行在安全的网络环境中，并使用防火墙或其他安全措施来限制对 Incus UI 的访问。 在升级之前，请务必备份 Incus 的配置和数据，以防止数据丢失。 升级后，验证 Incus UI 的功能是否正常，并确认漏洞已成功修复。 升级过程应在非高峰时段进行，以尽量减少对业务的影响。 建议在测试环境中验证升级过程，然后再在生产环境中进行升级。