CVE-2026-33711 in incusالمعلومات

الملخص

بحسب VulDB • 10/05/2026

Incus هو مدير حاويات نظام وآلات افتراضية. يوفر Incus واجهة برمجة تطبيقات (API) لاسترداد لقطات الشاشة للآلات الافتراضية. تعتمد هذه الواجهة على استخدام ملف مؤقت لكتابة QEMU لقطة الشاشة فيه، ثم يتم التقاط هذا الملف وإرساله إلى المستخدم قبل حذفه. ونظراً لأن الإصدارات السابقة لـ 6.23.0 تستخدم مسارات قابلة للتوقع تحت /tmp لهذا الغرض، يمكن لمهاجم لديه وصول محلي إلى النظام استغلال هذه الآلية من خلال إنشاء روابط رمزية (symlinks) خاصة به مسبقاً. على الغالبية العظمى من أنظمة لينكس، سيؤدي ذلك إلى حدوث خطأ "Permission denied" (تم رفض الإذن) عند طلب لقطة شاشة. والسبب في ذلك هو أن نواة لينكس تحتوي على ميزة أمان مصممة لمنع مثل هذه الهجمات، وهي `protected_symlinks`. أما في الأنظمة النادرة التي تم تعطيل هذه الميزة فيها عمداً، فمن الممكن خداع Incus ليقوم بتفريغ (truncating) وتعديل وضع (mode) وأذونات الملفات التعسفية على نظام الملفات، مما قد يؤدي إلى حجب الخدمة (Denial of Service) أو تصعيد محتمل للصلاحيات محلياً. تقوم الإصدار 6.23.0 بإصلاح هذه المشكلة.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

23/03/2026

إفشاء

27/03/2026

الاعتدال

تمت الموافقة

إدخال

VDB-353790

CPE

جاهز

CWE

CWE-61 (مؤكد)

CVSS

5.3 (VulDB)

EPSS

0.00006

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-33711
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-33711
CVE Details	https://www.cvedetails.com/cve/CVE-2026-33711/

التالي ▸نظرة عامة ◂ السابق

Do you need the next level of professionalism?

Upgrade your account now!