Canonical - CVE-2026-28384
Date de publication :
Il s'agit d'une vulnérabilité dans LXD au niveau du paramètre compression_algorithm utilisé par les points d'API d'export d'images et de sauvegardes.
LXD est un gestionnaire de conteneurs et de machines virtuelles système pour Linux.
La valeur fournie par l'utilisateur n'était pas correctement validée ni neutralisée.
Elle permet l'exécution de commandes arbitraires sur l'hôte avec les privilèges du démon LXD.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Exécution de code arbitraire (à distance)
Exploitation
CWE-78 : Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
• LXD versions 4.12 jusqu'à 5.0.5 incluses.
• LXD versions 5.21.0 jusqu'à 5.21.3 incluses.
• LXD versions 6.0 jusqu'à 6.6 incluses.
• LXD versions 2.12 jusqu'aux versions antérieures à 4.12 contiennent le bug, mais Canonical précise que ce n'est pas considéré comme un problème de sécurité sur ces branches car tout utilisateur disposant d'un accès LXD y était déjà considéré comme administrateur.
Solutions ou recommandations
• LXD versions 5.21.4-1374f39 et supérieures dans le canal 5.21/stable.
• LXD versions 6.7 et supérieures dans le canal 6/stable.