CVE-2026-23953

Nome do Software Vulnerável e Versões Afetadas Incus versões 6.20.0 e inferiores

Descrição O Incus é um gerenciador de contêineres de sistema e máquinas virtuais. Um usuário com a capacidade de iniciar um contêiner com uma configuração YAML personalizada pode criar uma variável de ambiente contendo quebras de linha. Isso pode ser usado para adicionar itens de configuração adicionais no lxc.conf do contêiner devido à injeção de quebras de linha, possivelmente permitindo a adição de gatilhos de ciclo de vida arbitrários, resultando, em última instância, na execução de comandos arbitrários no host. Explorar essa vulnerabilidade no IncusOS requer uma pequena modificação na carga útil para alterar para um diretório gravável diferente na etapa de validação. O arquivo lxc.conf é afetado.

Recomendações Versões anteriores a 6.20.0 são afetadas. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.