Linux Distros 未修補的弱點:CVE-2026-23739
medium Nessus Plugin ID 298277
語言:
概要
Linux/Unix 主機上安裝的一個或多個套件存有弱點,廠商表示將不會修補。說明
Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件,且廠商未提供可用的修補程式。- Asterisk 是一項開放原始碼的私有分支交換和電話語音工具組。在 20.7-cert9 版本之前,20.18.221.12.122.8.223.2.2xml.c 中的 ast_xml_open() 函式使用 libxml 解析 XML 文件,並帶有不安全的解析選項,這些選項可實現實體擴展與 XInclude 處理。具體來說,它會用 XML_PARSE_NOENT 標誌呼叫 xmlReadFile(),之後透過 xmlXIncludeProcess() 來呼叫 XIncludes。若將任何不受信任或使用者提供的 XML 檔案傳入此函式,攻擊者可能觸發 XML 外部實體(XXE)或基於 XInclude 的本地檔案揭露,可能導致主機系統洩漏敏感檔案。在其他情況下,使用者能以 XML 格式輸入,觸發星號程序解析該資料時,也能觸發此功能。此問題已在 20.7-cert9、20.18.2、21.12.1、22.8.2 和 23.2.2 版中修補。(CVE-2026-23739)
請注意,Nessus 的判定取決於廠商所報告的套件是否存在。
解決方案
目前尚未有已知的解決方案。另請參閱
Plugin 詳細資訊
嚴重性: Medium
ID: 298277
檔案名稱: unpatched_CVE_2026_23739.nasl
版本: 1.6
類型: Local
代理程式: unix
系列: Misc.
已發布: 2026/2/6
已更新: 2026/4/29
支援的感應器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
風險資訊
VPR
風險因素: Low
分數: 3.6
CVSS v2
風險因素: Medium
基本分數: 5
時間性分數: 4.3
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
CVSS 評分資料來源: CVE-2026-23739
CVSS v3
風險因素: Medium
基本分數: 6.5
時間性分數: 6
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
時間媒介: CVSS:3.0/E:U/RL:U/RC:C
弱點資訊
CPE: p-cpe:/a:canonical:ubuntu_linux:asterisk, cpe:/o:canonical:ubuntu_linux:20.04:-:lts, cpe:/o:canonical:ubuntu_linux:25.10, cpe:/o:canonical:ubuntu_linux:24.04:-:lts, cpe:/o:canonical:ubuntu_linux:16.04:-:lts, cpe:/o:canonical:ubuntu_linux:18.04:-:lts, cpe:/o:canonical:ubuntu_linux:26.04, cpe:/o:canonical:ubuntu_linux:22.04:-:lts
必要的 KB 項目: Host/cpu, Host/local_checks_enabled, global_settings/vendor_unpatched, Host/OS/identifier
可輕鬆利用: No known exploits are available
弱點發布日期: 2026/2/6
參考資訊
CVE: CVE-2026-23739