偵測

MiracleLinux 7php-5.4.16-48.0.6.el7.AXS7 (AXSA:2025-10014:03)

medium Nessus Plugin ID 283024

語言:

概要

遠端 MiracleLinux 主機缺少一個或多個安全性更新。

說明

遠端 MiracleLinux 7 主機已安裝受到多個弱點影響的套件如 AXSA:2025-10014:03 公告中所提及。

 * CVE-2025-1217修正 http 資料流剖析器對折疊標頭的處理
 * CVE-2025-1734修正遺漏冒號的 http 標頭驗證
 * CVE-2025-1861修正不正確的 http 重新導向位置截斷 CVE
 8.1CVE-2025-12178.2在 8.3.19PHP中 8.4.5當 8.4http 8.2.28要求 8.1.32模組 8.3剖析從伺服器未正確剖析折疊的標頭其可能導致錯誤解譯回應及使用錯誤的標頭、MIME 類型等。
 CVE-2025-1861 在 PHP 中從 8.1.* 之前 8.1.32、 8.2之前的 [] .* 、 [ 8.2.28之前的 8.3.* 、 8.3.198.4之前的 [] .* 和 8.4.5中當剖析 HTTP 回應中的 HTTP 重新導向時要求時,目前位置值大小受到位置緩衝區大小限制為 1024 所造成。不過,根據 RFC9110 的建議,此限制應為 8000 位元。這可能會導致不正確的 URL 截斷和重新導向至錯誤的位置。
 CVE-2025-1734 在 8.1.* 之前 8.1.32、 [] 之前的 8.2.* 、 [ 8.2.28之前的 8.3.*、 8.3.198.4] 之前的 .* 和 8.4.5中當接收來自 HTTP 伺服器的標頭時標頭遺失即使冒號 (:) 並非有效標頭也會被視為有效。這可能導致應用程式混淆而接受無效的標頭。

Tenable 已直接從 MiracleLinux 安全性公告擷取前置描述區塊。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的套件。

另請參閱

https://tsn.miraclelinux.com/en/node/21198

Plugin 詳細資訊

嚴重性: Medium

ID: 283024

檔案名稱: miracle_linux_AXSA-2025-10014.nasl

版本: 1.1

類型: local

已發布: 2026/1/13

已更新: 2026/1/13

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.7

Vendor

Vendor Severity: Moderate

CVSS v2

風險因素: Critical

基本分數: 10

時間性分數: 7.8

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2025-1861

CVSS v3

風險因素: Critical

基本分數: 9.8

時間性分數: 8.8

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:P/RL:O/RC:C

CVSS v4

風險因素: Medium

Base Score: 6.3

Threat Score: 2.9

Threat Vector: CVSS:4.0/E:P

Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N

弱點資訊

CPE: p-cpe:/a:miracle:linux:php-pgsql, p-cpe:/a:miracle:linux:php-pdo, p-cpe:/a:miracle:linux:php-recode, cpe:/o:miracle:linux:7, p-cpe:/a:miracle:linux:php-mysql, p-cpe:/a:miracle:linux:php-xml, p-cpe:/a:miracle:linux:php, p-cpe:/a:miracle:linux:php-mbstring, p-cpe:/a:miracle:linux:php-gd, p-cpe:/a:miracle:linux:php-common, p-cpe:/a:miracle:linux:php-soap, p-cpe:/a:miracle:linux:php-bcmath, p-cpe:/a:miracle:linux:php-process, p-cpe:/a:miracle:linux:php-xmlrpc, p-cpe:/a:miracle:linux:php-ldap, p-cpe:/a:miracle:linux:php-cli, p-cpe:/a:miracle:linux:php-odbc

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2025/6/16

弱點發布日期: 2025/3/12

參考資訊

CVE: CVE-2025-1217, CVE-2025-1734, CVE-2025-1861