リモートの Debian 10 ホストには、dla-3074 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

  - GNOME Web (別名 Epiphany) 40.4より前および 41.1より前の 41.xでは、以下を介して XSS が発生する可能性があります。about: ページ。これは ephy-about: overview (Most Visited リストに掲載されるほど頻繁 XSS ペイロードページを訪問する場合) で実証されています。(CVE-2021-45085)

  - ページタイトルで示されているように、ソースの表示モードまたはリーダーモードを使用すると、GNOME Web (別名Epiphany) の40.4 より前および 41.1より前の 41.xで XSS が発生する可能性があります。 (CVE-2021-45087)

  - GNOME Web (別名 Epiphany) 40.4より前および 41.1より前の 41.xでは、エラーページを介して XSS が発生する可能性があります。
    (CVE-2021-45088)

  - 41.4より前の GNOME Epiphany および 42.2 より前の 42.x で、HTML ドキュメントが長いページタイトルを介して (UI プロセスの ephy_string_shorten で) クライアントバッファオーバーフローをトリガーする可能性があります。この問題は、UTF-8 省略記号文字のバイト数が適切に考慮されていないために発生します。(CVE-2022-29536)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

検出

Debian DLA-3074-1 : epiphany-browser - LTS セキュリティ更新

medium Nessus プラグイン ID 164279

バージョン 1.3