Nutanix AOS多個弱點 (NXSA-AOS-6.10.1.14)
high Nessus Plugin ID 299019
語言:
概要
Nutanix AOS 主機受到多個弱點影響。說明
遠端主機上安裝的 AOS 版本低於 6.10.1.14。因此會受到 NXSA-AOS-6.10.1.14 公告中所提及的多個弱點影響。- 在某些情況下BIND 接受來自回應的記錄時過於寬鬆進而允許攻擊者將偽造的資料插入快取。此問題會影響 BIND 9 版本 9.11.0 至 9.16.50、 9.18.0 至 9.18.39、 9.20.0 至 9.20.13、 9.21.0 至 9.21.12、9.11.3-S1 至 9.16.50-S1、9.18.11-S1 至 9.18。 39-S1以及 9.20.9-S1 至 9.20.13-S1。 (CVE-2025-40778)
- Apache CXF 會將大型資料流型訊息儲存為本機檔案系統上的暫存檔。系統引入一個錯誤,導致整個暫存檔被讀入記憶體,並寫入記錄檔。攻擊者可能利用此弱點,透過觸發記憶體溢位例外狀況,發動拒絕服務攻擊。
此外,雖然 CXF 支援加密暫存檔以避免敏感憑證以明文儲存在本機檔案系統中,但此錯誤會導致這些暫存檔以未加密的形式被寫入記錄檔。建議使用者升級至 3.5.11、3.6.6、4.0.7 或 4.1.1 版,即可修正此問題。(CVE-2025-48795)
- Expat 2.7.2 之前版本中的 libexpat 允許攻擊者透過提交進行剖析的小文件觸發大型動態記憶體配置。(CVE-2025-59375)
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
將 Nutanix AOS 軟體更新至建議的版本。升級前:如果此叢集已使用 Prism Central 註冊,請確認已先將 Prism Central 升級至相容版本。請參閱 Nutanix 入口網站上的「軟體產品互通性」頁面。另請參閱
Plugin 詳細資訊
嚴重性: High
ID: 299019
檔案名稱: nutanix_NXSA-AOS-6_10_1_14.nasl
版本: 1.2
類型: local
系列: Misc.
已發布: 2026/2/13
已更新: 2026/3/10
支援的感應器: Nessus
風險資訊
VPR
風險因素: High
分數: 7.1
CVSS v2
風險因素: High
基本分數: 7.8
時間性分數: 6.1
媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:C/A:N
CVSS 評分資料來源: CVE-2025-40778
CVSS v3
風險因素: High
基本分數: 8.6
時間性分數: 7.7
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:N
時間媒介: CVSS:3.0/E:P/RL:O/RC:C
弱點資訊
CPE: cpe:/o:nutanix:aos
必要的 KB 項目: Host/Nutanix/Data/lts, Host/Nutanix/Data/Service, Host/Nutanix/Data/Version, Host/Nutanix/Data/arch
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2026/2/13
弱點發布日期: 2025/6/10