CVE-2026-33898 in incus정보

요약

\~에 의해 VulDB • 2026. 05. 08.

Incus는 시스템 컨테이너 및 가상 머신 관리자입니다. 버전 6.23.0 이전의 `incus webui`에서 시작된 웹 서버는 인증 토큰을 잘못 검증하여 유효하지 않은 값도 허용하는 문제가 있었습니다. `incus webui`는 무작위 로컬호스트 포트에서 로컬 웹 서버를 실행합니다. 인증을 위해 사용자에게 인증 토큰이 포함된 URL을 제공합니다. 해당 토큰으로 접근하면 Incus는 이후 HTTP 요청에 토큰을 포함할 필요 없이 해당 토큰을 유지하는 쿠키를 생성합니다. Incus 클라이언트는 쿠키의 값을 올바르게 검증하지만, URL로 전달될 때 토큰은 올바르게 검증되지 않습니다.

이로 인해 로컬호스트의 임시 웹 서버를 찾아 통신할 수 있는 공격자는 `incus webui`를 실행한 사용자와 동일한 수준의 Incus 접근 권한을 가질 수 있습니다. 이는 다른 로컬 사용자에 의한 권한 상승이나, 로컬 사용자를 속여 Incus UI 웹 서버와 상호작용하도록 유도할 수 있는 원격 공격자에 의한 사용자 Incus 인스턴스 및 잠재적으로 시스템 리소스에 대한 접근으로 이어질 수 있습니다. 버전 6.23.0에서 이 문제가 패치되었습니다.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

책임이 있는

GitHub M

예약하다

2026. 03. 24.

모더레이션

수락

항목

VDB-353811

EPSS

0.00347

출처

Interested in the pricing of exploits?

See the underground prices here!