CVE-2026-28385
ŚrednieCVSS 5.0Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 7 — wyżej niż 7% wszystkich znanych CVE
Streszczenie
W LXD od wersji 4.12 do 6.9 wykryto podatność SSRF w funkcji importowania obrazów. Uwierzytelniony użytkownik z uprawnieniem can_create_images może wysyłać żądania do wewnętrznej infrastruktury sieciowej przez endpoint /images. Demon LXD nie waliduje docelowych adresów IP, co pozwala na łączenie się z adresami loopback, prywatnymi zakresami RFC1918 oraz metadanymi chmury.
Ocena ryzyka
Atakujący może przeprowadzić skanowanie portów oparte na błędach oraz nieautoryzowaną interakcję z wewnętrznymi serwisami HTTP, co może prowadzić do eskalacji uprawnień lub wycieku danych z sieci wewnętrznej.
Rekomendacja
Należy niezwłocznie zaktualizować LXD do wersji 6.10 lub nowszej, która zawiera poprawkę ograniczającą dozwolone adresy docelowe dla importu obrazów. Jako tymczasowe zabezpieczenie można ograniczyć uprawnienia can_create_images tylko do zaufanych użytkowników.
Oryginalny opis (angielski, źródło NVD)
In Canonical LXD versions 4.12 through 6.9, a Server-Side Request Forgery (SSRF) vulnerability in the image import functionality allows authenticated users with the can_create_images entitlement to interact with internal network infrastructure via the /images endpoint. When importing an image from a URL source, the LXD daemon fails to validate or restrict outbound destination IP addresses, allowing connections to loopback, RFC1918 private ranges, and cloud metadata endpoints. This enables error-based port scanning and unauthorized interaction with internal HTTP services from the daemon's network position.

