CVE-2026-49238
SFTP Server VM Escape in Canonical Multipass
Em resumo
Canonical Multipass possui uma falha no seu servidor SFTP que permite que um usuário dentro de uma máquina virtual acesse arquivos fora da sua pasta permitida no computador hospedeiro. Um atacante pode enganar o servidor para abrir arquivos em qualquer lugar do sistema usando truques de caminho especiais, expondo potencialmente dados sensíveis do hospedeiro.
Detalhe técnico
O CVE-2026-49238 explora validação insuficiente de caminhos no componente sshfs_server do Multipass, que executa como root. A vulnerabilidade resulta de comparação de prefixo de string simples sem normalização de sequências de travessia de diretório (..), permitindo que um atacante local com privilégio root dentro de uma VM convidada injete frames SFTP crafted via pipes de procfs e contorne isolamento FUSE para ler arquivos arbitrários do hospedeiro.
Resumo gerado e traduzido por IA a partir da descrição oficial.
An issue was discovered in Canonical Multipass before version 1.16.3. The host-side SFTP server component (sshfs_server), which executes with root privileges on the host, contains a path containment bypass vulnerability within its validate_path function in src/sshfs_mount/sftp_server.cpp. The function performs a plain string prefix comparison on requested paths without path separator validation or dot-dot (..) normalization. A local attacker with root privileges inside a guest virtual machine can bypass the FUSE layer by injecting raw SFTP frames (such as an SSH_FXP_OPEN request) directly into the sshfs_server process stdin/stdout pipes via procfs. By supplying a path containing directory traversal sequences that match the allowed mount prefix, the attacker can force the host-side root process to resolve the traversal and open files outside the designated mount boundary. This allows a guest-side user to read arbitrary files on the host filesystem, resulting in a virtual machine escape.
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N