Linux Distros 未修補的弱點:CVE-2025-53901
low Nessus Plugin ID 246230
語言:
概要
Linux/Unix 主機上安裝的一個或多個套件存有弱點,廠商表示將不會修補。說明
Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件,且供應商未提供可用的修補程式。- Wasmtime 是 WebAssembly 的運行時。在版本 24.0.4、 33.0.2和 34.0.2之前,Wasmtime 實作 WASIp1 匯入函式集中的錯誤可能會導致 WebAssembly 客體在主機(嵌入器)中引起錯誤。在呼叫「fd_renumber」之後呼叫「path_open」觸發特定錯誤,其中兩個引數值相等,或第二個引數等於先前關閉的檔案描述元編號值。「fd_renumber」中引入的損毀狀態將導致隨後開啟檔案描述項以出現錯誤。但是,這種錯誤不會引入記憶體不安全或允許 WebAssembly 突破其沙箱。此錯誤不會造成堆積損毀或記憶體不安全。此錯誤存在於 Wasmtime 的「wasmtime-wasi」crate 的實作中,該 crate 提供了 WASIp1 的實作。除了能夠開啟後續檔案描述元之外,此錯誤還需要特製呼叫「fd_renumber」。只有在向客體提供預先開啟的目錄時,才能開啟第二個檔案描述元,這在內嵌中很常見。主機中的錯誤被視為 WebAssembly 內嵌器的拒絕服務媒介,因此是 Wasmtime 中的安全問題。此錯誤不會影響 WASIp2 及使用元件的嵌入程式。根據 Wasmtime 的發布流程,補丁版本以 、 和 33.0.234.0.2的形式提供24.0.4。建議其他版本的 Wasmtime 使用者移至支援的 Wasmtime 版本。使用元件或未提供客體存取權以建立更多檔案描述元 (例如,透過預先開啟的檔案系統目錄) 的內嵌程式不會受到此問題的影響。
否則,目前沒有因應措施,建議將受影響的內嵌更新為不會在主機中造成錯誤的修補版本。(CVE-2025-53901)
請注意,Nessus 依賴供應商報告的套件存在。
解決方案
目前尚未有已知的解決方案。另請參閱
Plugin 詳細資訊
嚴重性: Low
ID: 246230
檔案名稱: unpatched_CVE_2025_53901.nasl
版本: 1.9
類型: Local
代理程式: unix
系列: Misc.
已發布: 2025/8/8
已更新: 2026/6/16
支援的感應器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
風險資訊
VPR
風險因素: Low
分數: 1.4
CVSS v2
風險因素: Medium
基本分數: 4.7
時間性分數: 4
媒介: CVSS2#AV:L/AC:M/Au:N/C:N/I:N/A:C
CVSS 評分資料來源: CVE-2025-53901
CVSS v3
風險因素: Low
基本分數: 3.5
時間性分數: 3.2
媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:N/A:L
時間媒介: CVSS:3.0/E:U/RL:U/RC:C
弱點資訊
CPE: cpe:/o:canonical:ubuntu_linux:25.04, cpe:/o:canonical:ubuntu_linux:25.10, cpe:/o:canonical:ubuntu_linux:24.04:-:lts, cpe:/o:debian:debian_linux:13.0, p-cpe:/a:debian:debian_linux:rust-wasmtime, p-cpe:/a:canonical:ubuntu_linux:rust-wasmtime, cpe:/o:canonical:ubuntu_linux:26.04:-:lts
必要的 KB 項目: Host/cpu, Host/local_checks_enabled, global_settings/vendor_unpatched, Host/OS/identifier
可輕鬆利用: No known exploits are available
弱點發布日期: 2025/7/18
參考資訊
CVE: CVE-2025-53901