Linux Distros 未修補弱點:CVE-2026-11819

medium Nessus Plugin ID 325137

概要

Linux/Unix 主機上安裝的一個或多個套件存有弱點,廠商表示將不會修補。

說明

Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件,且廠商未提供可用的修補程式。

- 模組:plugins/modules/keyring_info.py CVSS:3.15.5中等 AV:L/AC:L/PR:L/UI:N/S::U/C:H/I::N/AN 問題:
此模組會從作業系統原生金鑰環 (GNOME 金鑰環、macOS 鑰匙圈Windows憑證管理器) 擷取密碼片語,並將其直接放入 result[passphrase] 中,沒有輸出抑制、沒有no_log保護,也沒有文件警告。根本原因:第 105 行 (受保護):
keyring_password=dict(type=str, required=True, no_log=True) 第 127 行 (不受保護):
result[passphrase] = passphrase 觀察到的輸出: { changed: false, passphrase:
MyMasterP@ssw0rd!SSH_Key_Secret } 透過暫存器 + 偵錯可見: { keyring_result: { changed: false, passphrase: MyMasterP@ssw0rd!SSH_Key_Secret } } 影響:主密碼、SSH金鑰密碼和服務認證會出現在所有 Ansible 輸出暫存器中:keyring_result,後面接著偵錯:
var=keyring_result完整列印密碼片語 Ansible 事實快取後端 (Redis、JSON 檔案、memcached) 可能會保留密碼片語 AWX/Tower 工作記錄會以無訊息方式儲存即時認證 修正:
module.exit_json(changed=False, passphrase=passphrase, _ansible_no_log=True) 另新增文件警告,要求呼叫端在工作層級使用 no_log: true。PoC 圖 1:PoC 執行在純文字輸出中顯示密碼 圖 2:原始程式碼在輸入(第 105 行)與未受保護的輸出(第 127 行)上顯示 no_log=True (CVE-2026-11819)

請注意,Nessus 的判定取決於廠商所報告的套件是否存在。

解決方案

目前尚未有已知的解決方案。

另請參閱

https://access.redhat.com/security/cve/cve-2026-11819

Plugin 詳細資訊

嚴重性: Medium

ID: 325137

檔案名稱: unpatched_CVE_2026_11819.nasl

版本: 1.1

類型: Local

代理程式: unix

系列: Misc.

已發布: 2026/7/6

已更新: 2026/7/6

支援的感應器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Tenable Cloud Security, Tenable Self-Hosted Container Security, Nessus

風險資訊

VPR

風險因素: Low

分數: 3

百分位: 23.73

CVSS v2

風險因素: Medium

基本分數: 6.4

時間性分數: 5.4

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N

CVSS 評分資料來源: CVE-2026-11819

CVSS v3

風險因素: Medium

基本分數: 5.5

時間性分數: 5.1

媒介: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

時間媒介: CVSS:3.0/E:U/RL:U/RC:C

弱點資訊

CPE: cpe:/o:redhat:enterprise_linux:8, cpe:/o:centos:centos:8, p-cpe:/a:redhat:enterprise_linux:rhc-worker-playbook, cpe:/o:redhat:enterprise_linux:10, p-cpe:/a:centos:centos:rhc-worker-playbook, p-cpe:/a:centos:centos:rhel-system-roles, p-cpe:/a:redhat:enterprise_linux:rhel-system-roles

必要的 KB 項目: Host/cpu, Host/local_checks_enabled, global_settings/vendor_unpatched, Host/OS/identifier

可輕鬆利用: No known exploits are available

弱點發布日期: 2026/6/23

參考資訊

CVE: CVE-2026-11819