CVE-2026-34179 permet à un utilisateur restreint d'escalader ses privilèges vers admin complet du cluster Canonical LXD via une requête API non validée. CVSS 9.1, versions 4.12 à 6.7.
En bref
- CVE-2026-34179 — escalade de privilèges vers cluster admin dans Canonical LXD, CVSS 9.1 (critique)
- Versions 4.12 à 6.7 de LXD affectées — exploitation réseau avec privilèges bas
- Action urgente : mettre à jour LXD vers la version 6.8 ou supérieure
Les faits
Publiée le 9 avril 2026 et identifiée sous le numéro CVE-2026-34179, cette vulnérabilité critique touche Canonical LXD, le gestionnaire de conteneurs et machines virtuelles largement utilisé dans les infrastructures Linux. Avec un score CVSS de 9.1, elle permet à un utilisateur disposant d'un certificat TLS restreint d'escalader ses privilèges jusqu'au niveau administrateur du cluster LXD.
La faille se situe dans la fonction doCertificateUpdate du fichier lxd/certificates.go, responsable du traitement des mises à jour de certificats lors des requêtes PUT ou PATCH envoyées à l'endpoint API /1.0/certificates/{fingerprint}. Le champ Type de la requête entrante n'est pas validé, permettant à un utilisateur restreint de fournir une valeur arbitraire qui contourne les contrôles de sécurité destinés à maintenir son statut restreint.
Cette absence de validation constitue un défaut classique de contrôle d'accès, mais son impact est amplifié par le rôle central de LXD dans la gestion d'environnements conteneurisés en production. Une seconde vulnérabilité connexe, CVE-2026-34178, affecte également le mécanisme de restriction de projets dans les mêmes versions.
Impact et exposition
LXD est déployé dans de nombreuses infrastructures cloud privées, environnements de développement et plateformes de conteneurisation. Un attaquant disposant d'un accès limité (certificat TLS restreint) peut exploiter cette faille pour devenir administrateur complet du cluster. Cela lui permet de créer, modifier ou supprimer n'importe quel conteneur ou machine virtuelle, d'accéder aux volumes de stockage partagés et potentiellement de s'échapper vers l'hôte sous-jacent.
Le vecteur d'attaque est réseau (AV:N), la complexité est faible (AC:L) et seuls des privilèges bas sont nécessaires (PR:L), sans interaction utilisateur. Toutes les versions de LXD de 4.12 à 6.7 sont vulnérables, ce qui représente plusieurs années de déploiements en production. Les environnements multi-tenants où des utilisateurs restreints coexistent avec des administrateurs sont les plus exposés.
Recommandations immédiates
- Mettre à jour LXD vers la version 6.8 ou supérieure qui corrige la validation du champ Type
- Auditer les certificats TLS configurés dans le cluster LXD pour identifier les utilisateurs restreints
- Vérifier les journaux d'accès à l'API
/1.0/certificates/pour détecter des requêtes PUT/PATCH suspectes - Restreindre l'accès réseau à l'API LXD aux seules adresses IP de management autorisées
- Appliquer également le correctif pour CVE-2026-34178 (contournement de restriction de projets) présent dans la même mise à jour
⚠️ Urgence
Avec un CVSS de 9.1 et une exploitation triviale pour tout utilisateur disposant d'un certificat TLS restreint, cette vulnérabilité compromet l'isolation multi-tenant de LXD. Les environnements partagés doivent patcher en priorité — un utilisateur restreint peut devenir admin du cluster complet en une seule requête API.
Comment savoir si je suis vulnérable ?
Vérifiez votre version de LXD avec la commande lxd --version. Si le résultat est compris entre 4.12 et 6.7 inclus, vous êtes vulnérable. Vérifiez ensuite si des certificats TLS restreints sont configurés avec lxc config trust list. Si des entrées de type « restricted » apparaissent, le risque d'escalade est réel et immédiat.
Quelle est la différence entre LXD et LXC face à cette faille ?
LXC est le moteur de conteneurisation bas niveau, tandis que LXD est la couche de management au-dessus. La vulnérabilité CVE-2026-34179 affecte uniquement LXD (le daemon de management et son API REST), pas LXC directement. Cependant, un attaquant qui escalade ses privilèges via LXD obtient le contrôle de tous les conteneurs LXC gérés par ce cluster.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
ayi@ayinedjimi-consultants.fr
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Testez vos connaissances
Mini-quiz de certification lié à cet article — propulsé par CertifExpress
Articles connexes
CVE-2025-2749 : RCE Kentico Xperience inscrite au KEV CISA
CVE-2025-2749 : path traversal Kentico Xperience vers RCE, ajoutée au KEV CISA le 20 avril 2026. Échéance fédérale fixée au 4 mai 2026.
CVE-2026-34621 : Adobe Acrobat zero-day PDF exploité 4 mois
CVE-2026-34621 : zero-day Adobe Acrobat / Reader exploité depuis décembre 2025 via PDF malveillant, patch APSB26-43 publié le 11 avril 2026.
CVE-2026-35616 : FortiClient EMS API auth bypass exploité
CVE-2026-35616 expose les serveurs FortiClient EMS 7.4.5 et 7.4.6 à un bypass d'authentification API exploité in-the-wild depuis le 31 mars 2026.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire