偵測

Linux Distros 未修補的弱點:CVE-2025-59840

high Nessus Plugin ID 282582

語言:

概要

Linux/Unix 主機上安裝的一個或多個套件存有弱點,廠商表示將不會修補。

說明

Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件,且廠商未提供可用的修補程式。

 - Vega 是一種視覺化文法,是一種宣告式格式,用於創建、儲存及分享互動式視覺化設計。在 Vega 版本之前 6.2.0,滿足兩個條件的應用程式即使使用安全模式 expressionInterpreter,也有可能被任意執行 JavaScript 程式碼。如果他們在附帶「vega」函式庫和「vega」的應用程式中使用「vega」,就會變得脆弱。View' 實例類似 Vega 編輯器,並指向全域的「視窗」,以及是否允許使用者自訂的 Vega 「JSON」定義(相較於 JSON 只能透過原始碼提供)。以下 Vega 應用程式中提供補丁。若使用最新的 Vega 系列6.x(),則升級為 'vega' '6.2.0'/'vega-expression' '6.1.0'/'vega-interpreter' '2.2.1'(若使用 AST 評估模式)。若在非 ESM 環境中使用 Vega,請升級至 'vega-expression''5.2.1 /'1.2.1'(若使用 AST 評估器模式)。您可以使用一些因應措施。不要將 'vega' View 實例附加到全域變數,也不要將「vega」附加到全域視窗。這些附加 Vega 函式庫與 View 實例的做法可能方便於除錯,但不應用於生產環境或任何可能被不受信任方提供 vega/vega-lite 定義的情況。(CVE-2025-59840)

請注意,Nessus 的判定取決於廠商所報告的套件是否存在。

解決方案

目前尚未有已知的解決方案。

另請參閱

https://security-tracker.debian.org/tracker/CVE-2025-59840

https://ubuntu.com/security/CVE-2025-59840

Plugin 詳細資訊

嚴重性: High

ID: 282582

檔案名稱: unpatched_CVE_2025_59840.nasl

版本: 1.6

類型: Local

代理程式: unix

系列: Misc.

已發布: 2026/1/12

已更新: 2026/4/29

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.2

CVSS v2

風險因素: Medium

基本分數: 5.5

時間性分數: 4.7

媒介: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:N

CVSS 評分資料來源: CVE-2025-59840

CVSS v3

風險因素: High

基本分數: 8.1

時間性分數: 7.4

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N

時間媒介: CVSS:3.0/E:U/RL:U/RC:C

弱點資訊

CPE: cpe:/o:debian:debian_linux:12.0, cpe:/o:canonical:ubuntu_linux:24.04:-:lts, cpe:/o:debian:debian_linux:13.0, cpe:/o:canonical:ubuntu_linux:25.04, p-cpe:/a:canonical:ubuntu_linux:vega.js, cpe:/o:canonical:ubuntu_linux:25.10, p-cpe:/a:debian:debian_linux:vega.js, cpe:/o:canonical:ubuntu_linux:26.04

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, global_settings/vendor_unpatched, Host/OS/identifier

可輕鬆利用: No known exploits are available

弱點發布日期: 2025/11/13

參考資訊

CVE: CVE-2025-59840