Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Incus (CVE-2025-52890)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
25/06/2025
Última modificación:
26/06/2025

Descripción

Incus es un administrador de contenedores de sistema y máquinas virtuales. Al usar una ACL en un dispositivo conectado a un puente, las versiones 6.12 y 6.13 de Incus generan reglas de nftables que omiten parcialmente las opciones de seguridad `security.mac_filtering`, `security.ipv4_filtering` y `security.ipv6_filtering`. Esto puede provocar suplantación de ARP en el puente y suplantación completa de otra máquina virtual/contenedor en el mismo puente. El commit 254dfd2483ab8de39b47c2258b7f1cf0759231c8 contiene un parche para este problema.