CVE-2026-33711

Incus is a system container and virtual machine manager. Incus provides an API to retrieve VM screenshots. That API relies on the use of a temporary file for QEMU to write the screenshot to which is then picked up and sent to the user prior to deletion. As versions prior to 6.23.0 use predictable paths under /tmp for this, an attacker with local access to the system can abuse this mechanism by creating their own symlinks ahead of time. On the vast majority of Linux systems, this will result in a "Permission denied" error when requesting a screenshot. That's because the Linux kernel has a security feature designed to block such attacks, `protected_symlinks`. On the rare systems with this purposefully disabled, it's then possible to trick Incus intro truncating and altering the mode and permissions of arbitrary files on the filesystem, leading to a potential denial of service or possible local privilege escalation. Version 6.23.0 fixes the issue.

CVSS v3 7.8 HIGH

7.8^/10

CVSS v3 : HIGH

V3 Legend

Vector :

Exploitability : 1.8 / Impact : 5.9

Attack Vector LOCAL

Attack Complexity LOW

Privileges Required LOW

User Interaction NONE

Confidentiality Impact HIGH

Integrity Impact HIGH

Availability Impact HIGH

Scope UNCHANGED

References

Link	Resource
https://github.com/lxc/incus/security/advisories/GHSA-q9vp-3wcg-8p4x	Exploit Vendor Advisory
https://github.com/lxc/incus/security/advisories/GHSA-q9vp-3wcg-8p4x	Exploit Vendor Advisory

Configurations

Configuration 1 (hide)

cpe:2.3:a:linuxcontainers:incus:*:*:*:*:*:*:*:*

History

30 Mar 2026, 18:51

Type	Values Removed	Values Added
CVSS	v2 : ~~unknown~~ v3 : ~~unknown~~	v2 : unknown v3 : 7.8
CPE		cpe:2.3:a:linuxcontainers:incus::::::::
First Time		Linuxcontainers Linuxcontainers incus
References	~~() https://github.com/lxc/incus/security/advisories/GHSA-q9vp-3wcg-8p4x -~~	() https://github.com/lxc/incus/security/advisories/GHSA-q9vp-3wcg-8p4x - Exploit, Vendor Advisory

27 Mar 2026, 20:16

Type	Values Removed	Values Added
Summary		(es) Incus es un gestor de contenedores de sistema y máquinas virtuales. Incus proporciona una API para recuperar capturas de pantalla de la máquina virtual. Esa API se basa en el uso de un archivo temporal para que QEMU escriba la captura de pantalla, la cual luego se recoge y se envía al usuario antes de su eliminación. Dado que las versiones anteriores a la 6.23.0 utilizan rutas predecibles bajo /tmp para esto, un atacante con acceso local al sistema puede abusar de este mecanismo creando sus propios enlaces simbólicos con antelación. En la gran mayoría de los sistemas Linux, esto resultará en un error de 'Permiso denegado' al solicitar una captura de pantalla. Esto se debe a que el kernel de Linux tiene una característica de seguridad diseñada para bloquear tales ataques, protected_symlinks. En los sistemas raros con esto deshabilitado a propósito, es entonces posible engañar a Incus para que trunque y altere el modo y los permisos de archivos arbitrarios en el sistema de archivos, lo que lleva a una potencial denegación de servicio o posible escalada de privilegios local. La versión 6.23.0 corrige el problema.
References	~~() https://github.com/lxc/incus/security/advisories/GHSA-q9vp-3wcg-8p4x -~~	() https://github.com/lxc/incus/security/advisories/GHSA-q9vp-3wcg-8p4x -

26 Mar 2026, 23:16

Type	Values Removed	Values Added
New CVE

Information

Published : 2026-03-26 23:16

Updated : 2026-03-30 18:51

NVD link : CVE-2026-33711

Mitre link : CVE-2026-33711

CVE.ORG link : CVE-2026-33711

JSON object : View

Products Affected

linuxcontainers

incus

CWE

CWE-61

UNIX Symbolic Link (Symlink) Following

7.8 /10