Azure Linux 3.0 安全性更新python-tensorboard (CVE-2024-43788)
medium Nessus Plugin ID 296057
語言:
概要
遠端 Azure Linux 主機缺少一個或多個安全性更新。說明
遠端 Azure Linux 3.0 主機上安裝的 python-tensorboard 版本比測試版本舊。因此,它會受到 CVE-2024-43788 公告中提及的一個弱點影響。- Webpack 是一個模組綁定工具。其主要目的是為了在瀏覽器中搭配使用的 JavaScript 檔案而它也能夠轉換、綁定或封裝幾乎任何資源或資產。webpack 開發人員在 Webpack 的 `AutoPublicPathRuntimeModule` 中發現一個 DOM 記憶體弱點。模組中的 DOM 破壞小工具可導致網頁中發生跨網站指令碼 (XSS)其中存在無指令碼攻擊者控制的 HTML 元素 (例如具有未清理 `name` 屬性的 `img` 標籤)。
在 Canvas LMS 中發現實際惡意利用此小工具的情形允許透過 Webpack 編譯的 javascript 程式碼發動 XSS 攻擊 (有弱點的部分來自 Webpack)。DOM Clobbering 是一種程式碼重複使用攻擊其中攻擊者會先在網頁中嵌入一段非指令碼、看似無害的 HTML 標記 (例如透過貼文或註解)然後利用 中的小工具 (js 程式碼)現有的 javascript 程式碼以將其轉換為可執行的程式碼。此弱點可在包含 Webpack 產生之檔案的網站上導致跨網站指令碼 (XSS) 並允許使用者插入名稱或 ID 屬性清理不當的特定無指令碼 HTML 標籤。此問題已在版本 5.94.0 中解決。建議所有使用者升級。目前沒有任何因應措施可解決此問題。(CVE-2024-43788)
請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
更新受影響的套件。另請參閱
Plugin 詳細資訊
嚴重性: Medium
ID: 296057
檔案名稱: azure_linux_CVE-2024-43788.nasl
版本: 1.1
類型: local
已發布: 2026/1/22
已更新: 2026/1/22
支援的感應器: Nessus
風險資訊
VPR
風險因素: Low
分數: 3.8
CVSS v2
風險因素: Medium
基本分數: 6.4
時間性分數: 5
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N
CVSS 評分資料來源: CVE-2024-43788
CVSS v3
風險因素: Medium
基本分數: 6.1
時間性分數: 5.5
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
時間媒介: CVSS:3.0/E:P/RL:O/RC:C
CVSS v4
風險因素: Medium
Base Score: 6.1
Threat Score: 5.6
Threat Vector: CVSS:4.0/E:P
Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:N/VC:L/VI:L/VA:H/SC:N/SI:N/SA:N
弱點資訊
CPE: p-cpe:/a:microsoft:azure_linux:python3-tensorboard-data-server, p-cpe:/a:microsoft:azure_linux:python3-tensorboard, x-cpe:/o:microsoft:azure_linux
必要的 KB 項目: Host/local_checks_enabled, Host/AzureLinux/release, Host/AzureLinux/rpm-list, Host/cpu
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2024/10/8
弱點發布日期: 2024/8/27
參考資訊
CVE: CVE-2024-43788