| Title | Linux ContainersのIncusにおけるサーバサイドのリクエストフォージェリの脆弱性 |
|---|---|
| Summary | Incusはオープンソースのコンテナおよび仮想マシンマネージャーです。バージョン7.0.0より前のバージョンでは、イメージインポートのフローがrestricted.images.serversなどのプロジェクト制限を検証する前に、ユーザー提供のURLに対してアウトバウンドのHEADリクエストを送信していました。このHEADリクエストは攻撃者が提供するURLに基づいて行われ、サーバーメタデータを含むカスタムヘッダーが送信されます。これにより、認証されたユーザーは任意の宛先に盲目的なHEADリクエストを送らせることが可能となり、内部サービスやルーティング不能なアドレス空間、クラウドメタデータエンドポイントの調査に悪用される恐れがあります。この脆弱性はバージョン7.0.0で修正されました。 |
| Possible impacts | 当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報について、書き換えは発生しません。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。 |
| Solution | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | May 5, 2026, midnight |
| Registration Date | May 11, 2026, 10:58 a.m. |
| Last Update | May 11, 2026, 10:58 a.m. |
| CVSS3.0 : 警告 | |
| Score | 5 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:N/A:N |
| Linux Containers |
| Incus 7.0.0 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年05月11日] 掲載 |
May 11, 2026, 10:58 a.m. |
| Summary | Incus is an open source container and virtual machine manager. In versions prior to 7.0.0, the image import flow issues an outbound HEAD request to a user-supplied URL before validating the request against project restrictions such as restricted.images.servers. The imgPostURLInfo function constructs and sends a HEAD request directly from the attacker-supplied source URL to resolve image metadata, and this network interaction occurs before the flow reaches the point where the import would be rejected by policy. Although the actual image download is blocked by the project restriction, an authenticated user can coerce the daemon into making blind HEAD requests to arbitrary destinations. These requests include server metadata in custom headers (Incus-Server-Architectures, Incus-Server-Version), which discloses information about the host environment to the attacker-controlled endpoint. This blind SSRF primitive can be used to probe internal services, unroutable address space, or cloud metadata endpoints reachable from the host. This vulnerability pattern is similar to CVE-2026-24767. This issue has been fixed in version 7.0.0. |
|---|---|
| Publication Date | May 6, 2026, 6:16 a.m. |
| Registration Date | May 7, 2026, 4:07 a.m. |
| Last Update | May 8, 2026, 2:06 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:linuxcontainers:incus:*:*:*:*:*:*:*:* | 7.0.0 | ||||