検出

Nutanix AOS 複数の脆弱性NXSA-AOS-7.5.1.1

medium Nessus プラグイン ID 305049

Language:

概要

Nutanix AOS ホストは、複数の脆弱性の影響を受けます。

説明

リモートホストにインストールされている AOS のバージョンは、7.5.1.1 より前です。したがって、NXSA-AOS-7.5.1.1アドバイザリに記載されているとおり、複数の脆弱性の影響を受けます。

 - メールモジュール特に BytesGenerator クラスは、メールメッセージをシリアル化する際に、メールヘッダーの改行を適切に引用していませんでした。これにより、メールがシリアル化される際に、ヘッダー注入が可能になります。これが該当するのは、メール折り返しルールを順守しないヘッダーを書き込む LiteralHeader を使用する場合のみで、新しい動作により、BytesGenerator で間違って折り返しられたヘッダーが拒否されます。CVE-2026-1299

 - Apache CXF は、大きなストリームベースのメッセージをローカルファイルシステムに一時ファイルとして保存します。一時ファイル全体がメモリに読み込まれ、その後に記録されるバグが導入されました。攻撃者がこれを悪用し、メモリ不足の例外によってサービス拒否攻撃を引き起こす可能性があります。
 さらに、機密の認証情報がローカルファイルシステムで暗号化されずにキャッシュされるのを回避するために、一時ファイルを暗号化するように CXF を構成することもできます。ただし、このバグは、キャッシュされたファイルが暗号化されない状態でログに書き込まれることを意味します。ユーザーには、この問題を修正したバージョン 3.5.11、3.6.6、4.0.7 または 4.1.1 へのアップグレードをお勧めします。(CVE-2025-48795)

 - ユーザー制御のコマンドを渡されたとき、imaplib モジュールに、改行を使用して追加のコマンドを注入することができます。緩和策で、制御文字を含むコマンドが拒否されます。CVE-2025-15366

 - poplib モジュールは、ユーザーコントロールのコマンドを渡されたとき、改行を使用して追加のコマンドを注入される可能性があります。緩和策で、制御文字を含むコマンドが拒否されます。CVE-2025-15367

 - 改行を含むユーザーコントロールのヘッダー名および値により、HTTP ヘッダーを注入できる可能性があります。
 (CVE-2026-0865)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

Nutanix AOS ソフトウェアを推奨バージョンに更新してください。アップグレードの前に: このクラスターを Prism Central に登録する場合は、まず Prism Central を互換性のあるバージョンにアップグレードしてください。Nutanix ポータルのソフトウェア製品の相互運用性ページを参照してください。

参考資料

http://www.nessus.org/u?76942860

プラグインの詳細

深刻度: Medium

ID: 305049

ファイル名: nutanix_NXSA-AOS-7_5_1_1.nasl

バージョン: 1.1

タイプ: Local

ファミリー: Misc.

公開日: 2026/4/6

更新日: 2026/4/6

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.4

CVSS v2

リスクファクター: High

基本値: 8.5

現状値: 6.3

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:C/A:N

CVSS スコアのソース: CVE-2026-1299

CVSS v3

リスクファクター: Medium

基本値: 5.6

現状値: 4.9

ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

CVSS スコアのソース: CVE-2025-48795

CVSS v4

リスクファクター: Medium

Base Score: 6

Threat Score: 2.3

Threat Vector: CVSS:4.0/E:U

Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:N/VC:L/VI:H/VA:N/SC:N/SI:N/SA:N

脆弱性情報

CPE: cpe:/o:nutanix:aos

必要な KB アイテム: Host/Nutanix/Data/lts, Host/Nutanix/Data/Service, Host/Nutanix/Data/Version, Host/Nutanix/Data/arch

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2026/4/6

脆弱性公開日: 2025/7/15

参照情報

CVE: CVE-2025-15366, CVE-2025-15367, CVE-2025-48795, CVE-2026-0865, CVE-2026-1299