Debian publicó el 1 de marzo de 2026 el aviso DSA-6153-1 para LXD, el gestor de contenedores y máquinas virtuales. El fallo central, CVE-2026-23953, deja que un usuario con permiso para lanzar contenedores acabe ejecutando comandos arbitrarios en el host. Y no como un usuario cualquiera: como root.
Qué pasa exactamente
El problema es una inyección de saltos de línea (CWE-93) en la forma en que LXD/Incus procesa las variables de entorno de un contenedor. Cuando arrancas un contenedor con una configuración YAML propia, puedes definir variables de entorno. Antes del parche, esos valores se escribían tal cual en el fichero lxc.conf del contenedor, sin comprobar si contenían caracteres de nueva línea.
Ahí está el truco. Si metes un \n dentro del valor de una variable, lo que va detrás se interpreta como una línea de configuración más de lxc.conf. Y lxc.conf admite directivas como lxc.hook.pre-start, que ejecutan un comando en el host antes de arrancar el contenedor. Inyectas un hook, apuntas a lo que quieras ejecutar y ese comando corre con privilegios de root en la máquina anfitriona.
A quién afecta
Necesitas poder lanzar un contenedor con configuración personalizada, normalmente porque perteneces al grupo incus (o equivalente en LXD). No es un agujero remoto que cualquiera explote desde Internet: hace falta acceso local y permisos de cierto nivel. El riesgo real son las cuentas comprometidas y los usuarios internos con derecho a arrancar contenedores, que con esto saltan directamente a root del host y se llevan por delante el aislamiento que se supone que aporta la contenerización.
Las versiones de Incus afectadas son la 6.20.0 y anteriores (en concreto, hasta la 6.0.5 y de la 6.1.0 a la 6.20.0). El CVE tiene una puntuación CVSS 8.7.
Gravedad y parche
Debian clasifica el aviso como importante. La corrección llegó en la versión 5.0.2-5+deb12u3 para Debian 12 (Bookworm) y en la versión equivalente de Debian 13 (Trixie). El parche añade una comprobación que rechaza saltos de línea en las claves y valores de las variables de entorno, así que ya no se puede colar nada extra en lxc.conf.
Si gestionas contenedores LXD en Debian, actualiza el paquete cuanto antes:
sudo apt update && sudo apt upgrade lxdMientras no apliques el parche, revisa quién está en el grupo con permiso para lanzar contenedores. Cuanta menos gente pueda arrancar contenedores con YAML arbitrario, menor es la superficie de ataque. Esto es buena higiene incluso después de actualizar.
El aviso original de Debian agrupaba dos fallos de ejecución de comandos vía configuraciones malformadas; CVE-2026-23953 es el de mayor impacto por su salto directo a root.
Fuente
- Debian Security Announce - DSA-6153-1: https://lists.debian.org/debian-security-announce/2026/msg00062.html
- NVD - CVE-2026-23953: https://nvd.nist.gov/vuln/detail/CVE-2026-23953