CVE-2026-34177

Name of the Vulnerable Software and Affected Versions Canonical LXD versões 4.12 através de 6.7

Description As versões 4.12 a 6.7 do Canonical LXD contêm uma lista de bloqueio incompleta na função isVMLowLevelOptionForbidden (lxd/project/limits/permissions.go). Esta lista de bloqueio omite raw.apparmor e raw.qemu.conf das chaves bloqueadas sob a restrição de projeto restricted.virtual-machines.lowlevel=block. Um atacante remoto com permissão can edit em uma instância de VM em um projeto restrito pode injetar uma regra AppArmor e uma configuração QEMU chardev. Isso permite fazer a ponte do socket Unix LXD para a VM convidada, potencialmente levando à elevação de privilégios para o administrador do cluster LXD e, subsequentemente, para o root do host.

Recommendations Atualize para uma versão superior a 6.7. Como medida temporária, restrinja as permissões can edit em instâncias de VM dentro de projetos restritos.