Tenable.ad< 3.77.12 多個弱點 (TNS-2025-14)

high Nessus Plugin ID 243057

概要

遠端主機缺少一個或多個安全性更新。

說明

遠端主機上安裝的 Tenable.ad 版本比 3.77.12 舊。因此,會受到 TNS-2025-14 公告中所提及的多個弱點影響。

- 由於 libcurl 的 WebSocket 程式碼中的錯誤,惡意伺服器可傳送特製的封包,讓 libcurl 陷入無限忙碌迴圈。應用程式除了終止執行緒/處理程序沒有其他方法可以逸出或結束此迴圈。 (CVE-2025-5399)

- .NET 和 Visual Studio 中未受信任的搜尋路徑允許未經授權的攻擊者透過網路執行程式碼。(CVE-2025-30399)

- 連線至在 URL 中指定為 IP 位址的主機時,libcurl 意外略過 QUIC 連線的憑證驗證。因此,它不會偵測冒充者或攔截式攻擊。(CVE-2025-4947)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

根據 TNS-2025-14 中指定的指南升級 Tenable.ad。

另請參閱

https://www.tenable.com/security/tns-2025-14

Plugin 詳細資訊

嚴重性: High

ID: 243057

檔案名稱: tenable_ad_TNS_2025_14.nasl

版本: 1.1

類型: combined

代理程式: windows

系列: Misc.

已發布: 2025/7/30

已更新: 2025/7/30

組態: 啟用徹底檢查 (optional)

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.7

CVSS v2

風險因素: High

基本分數: 7.8

媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C

CVSS 評分資料來源: CVE-2025-5399

CVSS v3

風險因素: High

基本分數: 7.5

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

弱點資訊

CPE: cpe:/a:tenable:tenable_ad, cpe:/a:tenable:tenable_identity_exposure

必要的 KB 項目: installed_sw/Tenable.ad

修補程式發佈日期: 2025/5/8

弱點發布日期: 2025/5/28

參考資訊

CVE: CVE-2025-23167, CVE-2025-30399, CVE-2025-4748, CVE-2025-4947, CVE-2025-5025, CVE-2025-5399