CVE-2026-35527

Nome do Software Vulnerável e Versões Afetadas Incus versões anteriores a 7.0.0

Description Um usuário autenticado pode forçar o daemon a fazer requisições HEAD externas cegas para destinos arbitrários. Isso ocorre porque o fluxo de importação de imagem emite uma requisição para uma URL fornecida pelo usuário através da função imgPostURLInfo() antes de validar a requisição em relação às restrições do projeto, como restricted.images.servers. Isso cria um primitivo de server-side request forgery (SSRF) cego — uma técnica onde um invasor força um servidor a enviar requisições para um local não pretendido — que pode ser usado para sondar serviços internos, espaços de endereços não roteáveis ou endpoints de metadados de nuvem acessíveis a partir do host. Além disso, essas requisições incluem cabeçalhos personalizados (Incus-Server-Architectures e Incus-Server-Version) que revelam informações do ambiente do host para o endpoint controlado pelo invasor.

Recommendations Atualizar para a versão 7.0.0. Como medida paliativa temporária, restrinja o acesso à funcionalidade de importação de imagens para usuários autenticados não confiáveis para minimizar o risco de exploração.