PT-2025-26863 · Incus · Incus

Obp-Anssi

·

Publicado

2025-06-25

·

Atualizado

2026-03-30

·

CVE-2025-52890

CVSS v3.1

8.1

Alta

VetorAV:A/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:H
Nome do Software Vulnerável e Versões Afetadas: Versões 6.12 e 6.13 do Incus
Descrição: O Incus é um gerenciador de contêineres de sistema e máquinas virtuais. Ao utilizar uma ACL em um dispositivo conectado a uma ponte, ele gera regras nftables que contornam parcialmente as opções de segurança security.mac filtering, security.ipv4 filtering e security.ipv6 filtering. Isso pode levar ao envenenamento de ARP na ponte e à falsificação completa de outra VM/contêiner na mesma ponte.
Recomendações: Para as versões 6.12 e 6.13 do Incus, aplique o patch do commit 254dfd2483ab8de39b47c2258b7f1cf0759231c8 para resolver o problema.

Exploit

Correção

Incorrect Authorization

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-863

Identificadores relacionados

BDU:2025-08092
CVE-2025-52890
GHSA-P7FW-VJJM-2RWP
GO-2025-3782
OPENSUSE-SU-2025:15317-1
OPENSUSE-SU-2025:15405-1

Produtos afetados

Incus