Описание
Template Injection in instance snapshot creation component in Canonical LXD (>= 4.0) allows an attacker with instance configuration permissions to read arbitrary files on the host system via specially crafted snapshot pattern templates using the Pongo2 template engine.
Ссылки
- ExploitVendor Advisory
- ExploitVendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия от 4.0.0 (включая) до 5.21.4 (исключая)Версия от 6.1 (включая) до 6.5 (исключая)
Одновременно
Одно из
cpe:2.3:a:canonical:lxd:*:*:*:*:*:*:*:*
cpe:2.3:a:canonical:lxd:*:*:*:*:*:*:*:*
cpe:2.3:o:linux:linux_kernel:-:*:*:*:*:*:*:*
EPSS
Процентиль: 12%
0.0004
Низкий
6.5 Medium
CVSS3
Дефекты
CWE-1336
Связанные уязвимости
CVSS3: 6.5
ubuntu
4 месяца назад
Template Injection in instance snapshot creation component in Canonical LXD (>= 4.0) allows an attacker with instance configuration permissions to read arbitrary files on the host system via specially crafted snapshot pattern templates using the Pongo2 template engine.
CVSS3: 6.5
debian
4 месяца назад
Template Injection in instance snapshot creation component in Canonica ...
CVSS3: 6.5
github
4 месяца назад
Canonical LXD Arbitrary File Read via Template Injection in Snapshot Patterns
EPSS
Процентиль: 12%
0.0004
Низкий
6.5 Medium
CVSS3
Дефекты
CWE-1336