CVE-2026-12411

Broken Access Control in Canonical LXD DevLXD API

CVSS 8.4 HIGHEPSS 0.1%CWE-639 CWE-862

Vexday Risk Score

21Bajo

Decisión SSVC (CISA)

Track

Sin señal de explotación → monitorear

CVSS 8.4EPSS 0.1%KEV nãoPoC —Nuclei —Metasploit —Patch referenciado

Ciclo de vida

26 jun 2026Publicada en NVD

Recomendación: Monitorear — sin señal de explotación por ahora.

Broken Access Control in the devLXDInstancePatchHandler component of Canonical LXD allows an untrusted guest to mount, read, and overwrite another guest's custom storage volume via a crafted device PATCH request over /dev/lxd when security.devlxd.management.volumes is enabled.

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N

Productos afectados

Canonical · lxd

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/canonical/lxd/pull/18585 https://github.com/canonical/lxd/security/advisories/GHSA-hhf9-qw4v-72xp