Krytyczna luka w incus umożliwiająca dostęp do plików systemowych z uprawnieniami root

Krytyczna luka w incus przed wersją 6.23.0 umożliwia atakującemu dostęp do plików systemowych z uprawnieniami root. Zalecana natychmiastowa aktualizacja.
CVE-2026-33897CVSS 9.9Linux

Krytyczna luka w incus umożliwiająca dostęp do plików systemowych z uprawnieniami root

Krytyczna luka w incus przed wersją 6.23.0 umożliwia atakującemu dostęp do plików systemowych z uprawnieniami root. Zalecana natychmiastowa aktualizacja.

CVSS
9.9 CRITICAL
EPSS
38.01%
Aktywnie wykorzystywana
brak w KEV
Produkt
incus

Co wiadomo

W incus, menedżerze kontenerów i maszyn wirtualnych, przed wersją 6.23.0 szablony instancji mogły być wykorzystane do nieautoryzowanego odczytu i zapisu plików na hoście z uprawnieniami root. Luka wynika z błędnej izolacji systemu plików przez mechanizm pongo2, co pozwala na dostęp do całego systemu plików.

Wpływ biznesowy

Eksploatacja tej luki umożliwia atakującemu pełną kontrolę nad systemem hosta, co stanowi poważne zagrożenie dla bezpieczeństwa infrastruktury IT. Może to prowadzić do utraty danych, eskalacji uprawnień oraz potencjalnych przerw w działaniu usług. Operatorzy powinni traktować tę lukę jako krytyczną i priorytetowo podejść do jej załatania.

Rekomendowane działania administratora

Zaleca się niezwłoczne zaktualizowanie incus do wersji 6.23.0 lub nowszej, gdzie luka została załatana. W przypadku braku możliwości natychmiastowej aktualizacji, należy ograniczyć dostęp do instancji incus, monitorować logi pod kątem podejrzanej aktywności oraz przeprowadzić przegląd uprawnień. Warto również zweryfikować konfigurację szablonów i unikać używania niezweryfikowanych szablonów pongo2.

Źródła