Linux Distros 未修補弱點:CVE-2022-31022
medium Nessus Plugin ID 224710
語言:
概要
Linux/Unix 主機上安裝的一個或多個套件存有弱點,供應商表示將不會修補。說明
Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件,且供應商未提供可用的修補程式。- Bleve 是適用於 go 的文字索引程式庫。Bleve 在 bleve/http 套件下包含 HTTP 公用程式,由其範例應用程式使用。如果使用者使用 bleve 自己的 HTTP (bleve/http) 處置程式來洩漏索引的存取權,這些 HTTP 方法會為惡意利用 bleve 索引所在的節點檔案系統做準備。例如,CreateIndexHandler (`http/index_create.go`) 和 DeleteIndexHandler (`http/index_delete.go`) 可讓攻擊者在執行伺服器的使用者俱有寫入權限的任何位置建立 bleve 索引 (目錄結構),以及 至以遞回方式刪除相同使用者帳戶所擁有的任何目錄。使用 bleve/http 套件來暴露 bleve 索引存取權而未明確處理索引資產的角色型存取控制 (RBAC) 的使用者會受到此問題影響。目前尚無此問題的修補程式,因為 http 套件純粹是用來做示範用途。Bleve 從未設計用於處理 RBAC,也從未宣稱會以這種方式使用。此專案的協作者已決定,目前暫不將任何驗證或授權新增至 bleve 專案。bleve/http 套件主要用於示範目的,且缺少使用者輸入的詳盡驗證,以及任何驗證和授權措施。建議不要在生產使用案例中使用 bleve/http。 (CVE-2022-31022)
請注意,Nessus 依賴供應商報告的套件存在。
解決方案
目前尚未有已知的解決方案。Plugin 詳細資訊
嚴重性: Medium
ID: 224710
檔案名稱: unpatched_CVE_2022_31022.nasl
版本: 1.1
類型: local
代理程式: unix
系列: Misc.
已發布: 2025/3/5
已更新: 2025/3/5
支援的感應器: Nessus Agent, Nessus
風險資訊
VPR
風險因素: Low
分數: 3.6
CVSS v2
風險因素: Low
基本分數: 2.1
時間性分數: 1.6
媒介: CVSS2#AV:L/AC:L/Au:N/C:N/I:P/A:N
CVSS 評分資料來源: CVE-2022-31022
CVSS v3
風險因素: Medium
基本分數: 5.5
時間性分數: 4.8
媒介: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
必要的 KB 項目: Host/local_checks_enabled, Host/cpu, global_settings/vendor_unpatched
可輕鬆利用: No known exploits are available
弱點發布日期: 2022/6/1
參考資訊
CVE: CVE-2022-31022