Krytyczna luka w Incus umożliwiająca eskalację uprawnień i ataki DoS

Krytyczna luka w Incus umożliwia atakującym eskalację uprawnień i ataki DoS. Zalecana natychmiastowa aktualizacja do wersji 6.23.0.
CVE-2026-33945CVSS 9.9Linux

Krytyczna luka w Incus umożliwiająca eskalację uprawnień i ataki DoS

Krytyczna luka w Incus umożliwia atakującym eskalację uprawnień i ataki DoS. Zalecana natychmiastowa aktualizacja do wersji 6.23.0.

CVSS
9.9 CRITICAL
EPSS
35.82%
Aktywnie wykorzystywana
brak w KEV
Produkt
incus

Co wiadomo

Incus, menedżer kontenerów i maszyn wirtualnych, przed wersją 6.23.0 umożliwiał atakującemu zapis plików poza katalogiem poświadczeń kontenera, co pozwalało na eskalację uprawnień do roota oraz ataki typu odmowa usługi. Luka wynikała z nieprawidłowego parsowania kluczy konfiguracyjnych systemd.credential.

Wpływ biznesowy

Eksploatacja tej luki może prowadzić do przejęcia kontroli nad systemem przez atakującego z uprawnieniami roota oraz do zakłócenia działania usług przez ataki odmowy usługi. Operatorzy systemów korzystających z Incus powinni traktować tę lukę jako krytyczną, gdyż może ona poważnie zagrozić integralności i dostępności infrastruktury.

Rekomendowane działania administratora

Zaleca się niezwłoczne sprawdzenie wersji Incus i aktualizację do wersji 6.23.0 lub nowszej, jeśli to możliwe. W przypadku braku możliwości natychmiastowej aktualizacji, należy ograniczyć dostęp do konfiguracji Incus, monitorować logi pod kątem podejrzanych wpisów oraz ograniczyć ekspozycję systemu na nieautoryzowany dostęp. Priorytetowo należy wdrożyć poprawki dostarczone przez producenta.

Źródła