Linux Distros 未修補弱點:CVE-2026-54514
medium Nessus Plugin ID 322426
語言:
概要
Linux/Unix 主機上安裝的一個或多個套件存有弱點,廠商表示將不會修補。說明
Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件,且廠商未提供可用的修補程式。- jackson-databind 包含 Jackson Data Processor 的一般用途資料繫結功能及樹狀結構模型。From 2.0.0 until 2.18.8、 2.21.4、 3.1.4和 ,JDKFromStringDeserializer 使用新的 InetSocketAddress(host, port) 建構 InetSocketAddress,這會在還原序列化時對主機名稱輸入執行 eager DNS 名稱解析。將不受信任的 JSON 繫結至包含 InetSocketAddress 欄位的類型的應用程式,會在任何應用程式層級驗證或連線邏輯之前,在 readValue 期間發出攻擊者選擇的 DNS 查詢。此修正使用 InetSocketAddress.createUnresolved(host, port),將 DNS 延遲至明確連線。此弱點已在 、 2.21.4和 3.1.4中2.18.8修正。(CVE-2026-54514)
請注意,Nessus 的判定取決於廠商所報告的套件是否存在。
解決方案
目前尚未有已知的解決方案。另請參閱
Plugin 詳細資訊
嚴重性: Medium
ID: 322426
檔案名稱: unpatched_CVE_2026_54514.nasl
版本: 1.1
類型: Local
代理程式: unix
系列: Misc.
已發布: 2026/6/24
已更新: 2026/6/24
支援的感應器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
風險資訊
VPR
風險因素: Low
分數: 2.9
CVSS v3
風險因素: Medium
基本分數: 5.3
時間性分數: 4.9
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
時間媒介: CVSS:3.0/E:U/RL:U/RC:C
CVSS 評分資料來源: CVE-2026-54514
弱點資訊
CPE: cpe:/o:debian:debian_linux:11.0, p-cpe:/a:debian:debian_linux:jackson-databind, cpe:/o:debian:debian_linux:12.0, cpe:/o:debian:debian_linux:13.0, cpe:/o:debian:debian_linux:14.0
必要的 KB 項目: Host/local_checks_enabled, Host/cpu, global_settings/vendor_unpatched, Host/OS/identifier
可輕鬆利用: No known exploits are available
弱點發布日期: 2026/6/23
參考資訊
CVE: CVE-2026-54514