偵測

Linux Distros 未修補的弱點:CVE-2024-43788

medium Nessus Plugin ID 228834

語言:

概要

Linux/Unix 主機上安裝的一個或多個套件存有弱點,供應商表示將不會修補。

說明

Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件,且供應商未提供可用的修補程式。

 - Webpack 是一個模組綁定工具。其主要目的是為了在瀏覽器中搭配使用的 JavaScript 檔案而它也能夠轉換、綁定或封裝幾乎任何資源或資產。webpack 開發人員在 Webpack 的 `AutoPublicPathRuntimeModule` 中發現一個 DOM 記憶體弱點。模組中的 DOM 破壞小工具可導致網頁中發生跨網站指令碼 (XSS)其中存在無指令碼攻擊者控制的 HTML 元素 (例如具有未清理 `name` 屬性的 `img` 標籤)。
 在 Canvas LMS 中發現實際惡意利用此小工具的情形允許透過 Webpack 編譯的 javascript 程式碼發動 XSS 攻擊 (有弱點的部分來自 Webpack)。DOM Clobbering 是一種程式碼重複使用攻擊其中攻擊者會先在網頁中嵌入一段非指令碼、看似無害的 HTML 標記 (例如透過貼文或註解)然後利用 中的小工具 (js 程式碼)現有的 javascript 程式碼以將其轉換為可執行的程式碼。此弱點可在包含 Webpack 產生之檔案的網站上導致跨網站指令碼 (XSS) 並允許使用者插入具有不當清理名稱或 ID 屬性的某些無指令碼 HTML 標籤。此問題已在版本 5.94.0 中解決。建議所有使用者升級。目前沒有任何因應措施可解決此問題。(CVE-2024-43788)

請注意,Nessus 依賴供應商報告的套件存在。

解決方案

目前尚未有已知的解決方案。

另請參閱

https://access.redhat.com/security/cve/cve-2024-43788

https://security-tracker.debian.org/tracker/CVE-2024-43788

https://ubuntu.com/security/CVE-2024-43788

Plugin 詳細資訊

嚴重性: Medium

ID: 228834

檔案名稱: unpatched_CVE_2024_43788.nasl

版本: 1.5

類型: local

代理程式: unix

系列: Misc.

已發布: 2025/3/5

已更新: 2025/10/22

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

風險資訊

VPR

風險因素: Low

分數: 3.8

CVSS v2

風險因素: Low

基本分數: 3.5

時間性分數: 3.2

媒介: CVSS2#AV:N/AC:M/Au:S/C:N/I:P/A:N

CVSS 評分資料來源: CVE-2024-43788

CVSS v3

風險因素: Medium

基本分數: 6.1

時間性分數: 5.8

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

時間媒介: CVSS:3.0/E:P/RL:U/RC:C

弱點資訊

CPE: cpe:/o:debian:debian_linux:11.0, p-cpe:/a:debian:debian_linux:node-webpack, cpe:/o:centos:centos:8, p-cpe:/a:centos:centos:thunderbird, cpe:/o:canonical:ubuntu_linux:22.04:-:lts, cpe:/o:canonical:ubuntu_linux:24.04:-:lts, p-cpe:/a:redhat:enterprise_linux:thunderbird, cpe:/o:centos:centos:7, p-cpe:/a:canonical:ubuntu_linux:node-webpack, cpe:/o:redhat:enterprise_linux:8, cpe:/o:canonical:ubuntu_linux:25.10, cpe:/o:canonical:ubuntu_linux:18.04:-:lts, p-cpe:/a:centos:centos:js-d3-flame-graph, cpe:/o:canonical:ubuntu_linux:25.04, cpe:/o:redhat:enterprise_linux:7, p-cpe:/a:redhat:enterprise_linux:firefox, cpe:/o:redhat:enterprise_linux:9, p-cpe:/a:redhat:enterprise_linux:js-d3-flame-graph, p-cpe:/a:centos:centos:firefox, cpe:/o:canonical:ubuntu_linux:20.04:-:lts, cpe:/o:redhat:enterprise_linux:6, cpe:/o:debian:debian_linux:12.0

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, global_settings/vendor_unpatched, Host/OS/identifier

可被惡意程式利用: true

可輕鬆利用: Exploits are available

弱點發布日期: 2024/8/27

參考資訊

CVE: CVE-2024-43788