Incusはシステムコンテナおよび仮想マシンマネージャーです。バージョン6.21.0以下では、カスタムイメージでコンテナを起動する権限を持つユーザー（例えば'incus'グループのメンバー）が、テンプレート機能を用いてディレクトリトラバーサルやシンボリックリンクを利用し、ホストの任意ファイルを読み書きできる可能性があります。これにより、最終的にホスト上で任意のコマンドを実行できる恐れがあります。metadata.yamlにテンプレートを含むイメージを使用する際、ソースおよびターゲットのパスに対するシンボリックリンクやディレクトリトラバーサルの検査が行われていません。この脆弱性はIncusOSでも悪用可能です。バージョン6.0.6および6.21.0で修正される予定ですが、公開時点ではリリースされていません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。