製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

Linux ContainersのIncusにおける制限またはスロットリング無しのリソースの割り当てに関する脆弱性

タイトル	Linux ContainersのIncusにおける制限またはスロットリング無しのリソースの割り当てに関する脆弱性
概要	Incusはシステムコンテナおよび仮想マシンのマネージャーです。バージョン7.0.0以前では、認証されたユーザーが大量のデータをアップロードすることで、Incusサーバーのディスク容量を使い果たし、ホストシステムがダウンする可能性がありました。影響を受けるのは、storage.images_volumeおよびstorage.backups_volumeを使用しているユーザーに限定されます。これらのユーザーの場合、大量のアップロードデータはホストファイルシステムではなく、これらのボリュームに保存されます。これはIncusOSのデフォルトの動作です。この問題はバージョン7.0.0で修正されました。
想定される影響	当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。また、当該ソフトウェアが扱う情報について、書き換えは発生しません。さらに、当該ソフトウェアの一部が停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
対策	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年5月7日0:00
登録日	2026年5月11日10:57
最終更新日	2026年5月11日10:57

CVSS3.0 : 警告
スコア	4.3
ベクター	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L

影響を受けるシステム

Linux Containers

Incus 7.0.0 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-41685	https://www.cve.org/CVERecord?id=CVE-2026-41685
National Vulnerability Database (NVD)
2	CVE-2026-41685	https://nvd.nist.gov/vuln/detail/CVE-2026-41685

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-770	https://cwe.mitre.org/data/definitions/770.html

ベンダー情報

No	名前	URL
GitHub
1	Unbounded binary import disk exhaustion Advisory lxc/incus GitHub	https://github.com/lxc/incus/security/advisories/GHSA-98vh-x9cx-9cfp

その他

No	名前	URL
関連文書
1	Release Incus 7.0.0 LTS lxc/incus GitHub	https://github.com/lxc/incus/releases/tag/v7.0.0

変更履歴

No	変更内容	変更日
1	[2026年05月11日] 掲載	2026年5月11日10:57

NVD脆弱性情報

CVE-2026-41685

概要	Incus is a system container and virtual machine manager. Prior to version 7.0.0, uploads of large amount of data by authenticated users can run the Incus server out of disk space, potentially taking down the host system. The impact here is limited for anyone using storage.images_volume and storage.backups_volume as those users will have large uploads be stored on those volumes rather than directly on the host filesystem. This is the default behavior on IncusOS. This issue has been patched in version 7.0.0.
公表日	2026年5月7日23:16
登録日	2026年5月8日4:09
最終更新日	2026年5月8日0:16

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/lxc/incus/releases/tag/v7.0.0	security-advisories@github.com
2	https://github.com/lxc/incus/security/advisories/GHSA-98vh-x9cx-9cfp	security-advisories@github.com
3	https://github.com/lxc/incus/security/advisories/GHSA-98vh-x9cx-9cfp	134c704f-9b21-4f2e-91b3-4a467353bcc0

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-770	制限またはスロットリング無しのリソースの割り当て	https://cwe.mitre.org/data/definitions/770.html