IPBUF安全漏洞报告
English
CVE-2026-33711 CVSS 7.8 高危

CVE-2026-33711 Incus本地权限提升漏洞

披露日期: 2026-03-26
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-33711
漏洞类型
符号链接竞争
CVSS评分
7.8 高危
攻击向量
本地 (AV:L)
认证要求
低权限 (PR:L)
用户交互
无需交互 (UI:N)
影响产品
Incus

相关标签

Incus本地权限提升符号链接竞争CVE-2026-33711

漏洞概述

Incus是一个系统容器和虚拟机管理器,其6.23.0之前的版本在处理VM截图时存在安全漏洞。该API依赖于/tmp目录下可预测路径的临时文件。具有本地访问权限的攻击者可以利用该机制,提前创建符号链接。尽管大多数Linux系统启用了`protected_symlinks`安全功能来阻止此类攻击,但在少数禁用该功能的系统上,攻击者可以诱骗Incus截断并更改文件系统上任意文件的模式和权限,从而导致拒绝服务或潜在的本地权限提升。

技术细节

该漏洞源于Incus在处理QEMU虚拟机截图时使用了可预测的临时文件路径。Incus API指示QEMU将截图写入/tmp下的临时文件,随后发送给用户。由于路径可预测,本地攻击者可在文件创建前,预先在该路径创建指向敏感系统文件(如/etc/passwd)的符号链接。当系统内核未启用`protected_symlinks`保护时,QEMU进程(通常具有高权限)会跟随符号链接写入数据,导致目标文件被截断或修改权限。攻击者利用此行为可破坏系统文件导致拒绝服务,或通过篡改权限实现本地权限提升。该问题在6.23.0版本中通过改进文件处理机制得到修复。

攻击链分析

STEP 1
1. 获取本地访问
攻击者获取目标系统的本地低权限访问权限。
STEP 2
2. 预测文件路径
攻击者分析Incus的临时文件命名规则,预测截图API将使用的/tmp路径。
STEP 3
3. 创建恶意符号链接
攻击者在预测的路径上创建指向敏感系统文件(如/etc/shadow)的符号链接。
STEP 4
4. 触发API调用
攻击者诱导管理员或系统自动调用Incus的VM截图API。
STEP 5
5. 利用漏洞
如果内核未启用protected_symlinks,QEMU将跟随链接写入数据,导致目标文件被截断或权限被篡改。
STEP 6
6. 达成攻击目标
攻击者造成拒绝服务(系统崩溃)或利用篡改的文件实现本地权限提升。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
#!/bin/bash # PoC for CVE-2026-33711: Incus Screenshot Symlink Attack # Prerequisites: Local access, fs.protected_symlinks disabled in kernel TARGET_FILE="/etc/passwd" # High privilege target file PREDICTABLE_TMP="/tmp/incus_screenshot_vm_1.tmp" # Predictable path used by Incus echo "[+] Creating symlink from $PREDICTABLE_TMP to $TARGET_FILE" ln -sf $TARGET_FILE $PREDICTABLE_TMP echo "[+] Waiting for admin/user to trigger screenshot API..." # In a real scenario, the attacker would loop or monitor to recreate the link if it fails # or trigger the API themselves if they have the permission. # When the Incus screenshot API is called: # Incus/QEMU writes to /tmp/incus_screenshot_vm_1.tmp # Due to symlink, data is written to /etc/passwd, truncating it. echo "[+] If successful, $TARGET_FILE has been truncated or modified." echo "[+] This can lead to DoS or Privilege Escalation."

影响范围

Incus < 6.23.0

防御指南

临时缓解措施
确保Linux内核启用了`protected_symlinks`安全功能(通过sysctl设置fs.protected_symlinks=1),这能有效阻止符号链接攻击。同时严格限制本地用户访问权限。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表