Katalog CVE

CVE-2026-9639

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.38%

Percentyl 30 — wyżej niż 30% wszystkich znanych CVE

Streszczenie

W LXD do wersji 6.8 i 5.21 na systemie Linux występuje podatność polegająca na dereferencji wskaźnika zerowego w funkcji CreateCustomVolumeFromBackup. Uwierzytelniony użytkownik z uprawnieniami can_create_storage_volumes może spowodować odmowę usługi (DoS) poprzez przesłanie specjalnie spreparowanego archiwum kopii zapasowej woluminu niestandardowego, które pomija pole expires_at migawki.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do wywołania awarii usługi LXD, co prowadzi do przerwania działania kontenerów i zarządzania nimi. Ryzyko jest ograniczone do uwierzytelnionych użytkowników z odpowiednimi uprawnieniami.

Rekomendacja

Zaleca się natychmiastową aktualizację LXD do wersji 6.9 lub nowszej (oraz 5.21/stable z odpowiednim patchem). Jako tymczasowe zabezpieczenie należy ograniczyć uprawnienia can_create_storage_volumes tylko do zaufanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

Nil-pointer dereference in CreateCustomVolumeFromBackup in LXD up to version 6.8 and 5.21 on Linux allows an authenticated user with can_create_storage_volumes permissions to cause a denial of service via a specially crafted custom-volume backup tarball that omits the expires_at snapshot field.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS