Linux Distros のパッチ未適用の脆弱性: CVE-2026-33898
high Nessus プラグイン ID 303937
Language:
概要
Linux/Unix ホストには、ベンダーにより修正されていないことを示す脆弱性を持つ複数のパッケージがインストールされています。説明
Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。- Incus は、システムコンテナおよび仮想マシンマネージャーです。バージョン 6.23.0より前では、「incus webui」により作成された Web サーバーは、認証トークンを不適切に検証し、無効な値を受け入れます。 「incus webui」は、ランダムな localhost ポートでローカル Web サーバーを実行します。認証の場合、ユーザーに認証トークンを含む URL を提供します。そのトークンでアクセスされると、Incus は後続の HTTP リクエストに含める必要なく、そのトークンを永続するクッキーを作成します。Incus クライアントはクッキーの値を適切に検証しますが、URL に渡される際にトークンを適切に検証しません。これにより、ローカルホスト上の一時 Web サーバーを見つけて会話できる攻撃者が、「incus webui」を実行したユーザーと同等に Incus にアクセスできます。これは、別のローカルユーザーによる権限昇格、またはユーザーの Incus インスタンスおよびリモート攻撃者がシステムリソースへのアクセスにつながり、ローカルユーザーを騙して Incus UI Web サーバーと操作させる可能性があります。バージョン 6.23.0 はこの問題を修正します。(CVE-2026-33898)
Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。
ソリューション
現時点で既知の解決策はありません。参考資料
プラグインの詳細
深刻度: High
ID: 303937
ファイル名: unpatched_CVE_2026_33898.nasl
バージョン: 1.2
タイプ: Local
エージェント: unix
ファミリー: Misc.
公開日: 2026/3/27
更新日: 2026/3/30
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: High
スコア: 7.4
CVSS v2
リスクファクター: Low
基本値: 3.6
現状値: 3.1
ベクトル: CVSS2#AV:L/AC:L/Au:N/C:P/I:P/A:N
CVSS スコアのソース: CVE-2026-33898
CVSS v3
リスクファクター: High
基本値: 8.8
現状値: 8.1
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:U/RC:C
脆弱性情報
CPE: cpe:/o:canonical:ubuntu_linux:20.04:-:lts, cpe:/o:canonical:ubuntu_linux:25.10, cpe:/o:canonical:ubuntu_linux:16.04:-:lts, cpe:/o:canonical:ubuntu_linux:24.04:-:lts, p-cpe:/a:canonical:ubuntu_linux:lxd, cpe:/o:canonical:ubuntu_linux:18.04:-:lts, p-cpe:/a:canonical:ubuntu_linux:incus, cpe:/o:debian:debian_linux:14.0, p-cpe:/a:debian:debian_linux:incus, cpe:/o:debian:debian_linux:13.0
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, global_settings/vendor_unpatched, Host/OS/identifier
エクスプロイトの容易さ: No known exploits are available
脆弱性公開日: 2026/3/26
参照情報
CVE: CVE-2026-33898