CVE-2026-34177
KrytyczneStreszczenie
Wersje Canonical LXD od 4.12 do 6.7 zawierają niekompletną listę zablokowanych opcji w funkcji isVMLowLevelOptionForbidden, co pomija raw.apparmor i raw.qemu.conf. Zdalny atakujący z uprawnieniami can_edit na instancji VM w ograniczonym projekcie może wstrzyknąć regułę AppArmor oraz konfigurację QEMU, co prowadzi do eskalacji uprawnień do administratora klastra LXD i następnie do roota hosta.
Ocena ryzyka
Organizacja jest narażona na ryzyko eskalacji uprawnień, co może prowadzić do pełnej kontroli nad systemem hosta przez zdalnego atakującego. To może skutkować poważnymi naruszeniami bezpieczeństwa i utratą danych.
Rekomendacja
Zaleca się aktualizację LXD do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, należy przeglądać i ograniczać uprawnienia do edytowania instancji VM w projektach ograniczonych.
Oryginalny opis (angielski, źródło NVD)
Canonical LXD versions 4.12 through 6.7 contain an incomplete denylist in isVMLowLevelOptionForbidden (lxd/project/limits/permissions.go), which omits raw.apparmor and raw.qemu.conf from the set of keys blocked under the restricted.virtual-machines.lowlevel=block project restriction. A remote attacker with can_edit permission on a VM instance in a restricted project can inject an AppArmor rule and a QEMU chardev configuration that bridges the LXD Unix socket into the guest VM, enabling privilege escalation to LXD cluster administrator and subsequently to host root.

