Mehrere Schwachstellen (CVE-2026-33897, CVE-2026-33945) in Incus
⚠️ CVE-Referenzen:
CVE-2026-33897
CVE-2026-33945
Zusammenfassung
In der Systemcontainer- und VM-Software Incus gab es bis Version 6.23.0 eine Schwachstelle, die es Angreifern ermöglichte, Konfigurationen an systemd innerhalb der Gastinstanzen zu manipulieren. Dadurch konnten sie Dateien außerhalb des vorgesehenen "credentials"-Verzeichnisses schreiben - mit Root-Rechten. Zwar war ein direktes Auslesen von Daten nicht möglich, aber die willkürliche Dateimanipulation ermöglichte Privilege-Eskalation und Denial-of-Service-Attacken. Version 6.23.0 behebt diese kritische Sicherheitslücke.
Lxc - Incus - CRITICAL - CVE-2026-33945.
Incus, a system container and virtual machine manager, allows configurations to be passed to systemd within guest instances. Prior to version 6.23.0, a vulnerability existed where attackers could manipulate a configuration key to write outside the intended 'credentials' directory, potentially leading to unauthorized file writing as root. While direct data reading is not possible through this exploit, the ability to write arbitrary files raises significant concerns for both privilege escalation and denial of service attacks. Version 6.23.0 addresses and mitigates this vulnerability.
Quelle: securityvulnerability.io