CVE-2026-49238
SFTP Server VM Escape in Canonical Multipass
En resumen
Canonical Multipass tiene una falla en su servidor SFTP que permite que un usuario dentro de una máquina virtual acceda a archivos fuera de su carpeta permitida en la computadora anfitriona. Un atacante puede engañar al servidor para abrir archivos en cualquier lugar del sistema usando trucos de ruta especiales, exponiendo potencialmente datos sensibles del anfitrión.
Detalle técnico
CVE-2026-49238 explota validación insuficiente de rutas en el componente sshfs_server de Multipass, que se ejecuta como root. La vulnerabilidad resulta de una comparación de prefijo de cadena simple sin normalización de secuencias de travesía de directorios (..), permitiendo que un atacante local con privilegio root dentro de una VM invitada inyecte frames SFTP especializados vía pipes de procfs y eluda aislamiento FUSE para leer archivos arbitrarios del anfitrión.
Resumen generado y traducido por IA a partir de la descripción oficial.
An issue was discovered in Canonical Multipass before version 1.16.3. The host-side SFTP server component (sshfs_server), which executes with root privileges on the host, contains a path containment bypass vulnerability within its validate_path function in src/sshfs_mount/sftp_server.cpp. The function performs a plain string prefix comparison on requested paths without path separator validation or dot-dot (..) normalization. A local attacker with root privileges inside a guest virtual machine can bypass the FUSE layer by injecting raw SFTP frames (such as an SSH_FXP_OPEN request) directly into the sshfs_server process stdin/stdout pipes via procfs. By supplying a path containing directory traversal sequences that match the allowed mount prefix, the attacker can force the host-side root process to resolve the traversal and open files outside the designated mount boundary. This allows a guest-side user to read arbitrary files on the host filesystem, resulting in a virtual machine escape.
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N