Linux Distros 未修補的弱點:CVE-2026-33948
medium Nessus Plugin ID 306406
語言:
概要
Linux/Unix 主機上安裝的一個或多個套件存有弱點,廠商表示將不會修補。說明
Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件,且供應商未提供可用的修補程式。- jq 是一個命令行 JSON 處理器。6374ae0bcdfe33a18eb0ae6db28493b1f34a0a5b 之前的提交包含弱點,其中 CLI 輸入剖析允許透過內嵌 NUL 位元組繞過驗證。從檔案或 stdin 讀取 JSON 時,jq 使用 strlen() 來確定緩衝區長度,而不是來自 fgets() 的實際位元組計數,導致它截斷第一個 NUL 位元組的輸入並僅剖析前面的前綴。這可讓攻擊者在 NUL 位元組之前製作具有良性 JSON 前置詞的輸入,後面接著惡意尾端資料,其中 jq 僅將前置詞驗證為有效 JSON,同時默默捨棄後綴。
依賴 jq 在將不受信任的 JSON 轉送給下游消費者之前驗證不受信任的 JSON 的工作流程容易受到剖析器差異攻擊,因為這些消費者可能會處理包括惡意尾端位元組在內的完整輸入。此問題已透過提交 6374ae0bcdfe33a18eb0ae6db28493b1f34a0a5b 修補。
(CVE-2026-33948)
請注意,Nessus 依賴供應商報告的套件存在。
解決方案
目前尚未有已知的解決方案。另請參閱
Plugin 詳細資訊
嚴重性: Medium
ID: 306406
檔案名稱: unpatched_CVE_2026_33948.nasl
版本: 1.12
類型: Local
代理程式: unix
系列: Misc.
已發布: 2026/4/14
已更新: 2026/5/25
支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
風險資訊
VPR
風險因素: Low
分數: 2.2
CVSS v2
風險因素: High
基本分數: 7.5
時間性分數: 6.8
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS 評分資料來源: CVE-2026-33948
CVSS v3
風險因素: Medium
基本分數: 5.3
時間性分數: 5
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
時間媒介: CVSS:3.0/E:P/RL:U/RC:C
CVSS v4
風險因素: Medium
Base Score: 6.3
Threat Score: 2.9
Threat Vector: CVSS:4.0/E:P
Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N
弱點資訊
CPE: cpe:/o:redhat:enterprise_linux:8, p-cpe:/a:redhat:enterprise_linux:jq, cpe:/o:centos:centos:8, cpe:/o:redhat:enterprise_linux:9, cpe:/o:debian:debian_linux:12.0, p-cpe:/a:debian:debian_linux:jq, cpe:/o:redhat:enterprise_linux:10, p-cpe:/a:redhat:enterprise_linux:jq-devel, p-cpe:/a:centos:centos:jq, p-cpe:/a:centos:centos:jq-devel
必要的 KB 項目: Host/local_checks_enabled, Host/cpu, global_settings/vendor_unpatched, Host/OS/identifier
可被惡意程式利用: true
可輕鬆利用: Exploits are available
弱點發布日期: 2026/4/13
參考資訊
CVE: CVE-2026-33948