リモートの Ubuntu 18.04 LTS / 20.04 LTS / 24.10 ホストには、USN-7318-1 のアドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    SPIP でベンダー化された svg-sanitizer が SVG/XML コンテンツを適切にサニタイズしないことが判明しました。攻撃者は、この問題を利用して、クロスサイトスクリプティングを仕掛ける可能性があります。この問題の影響を受けるのは Ubuntu 24.10 のみです。(CVE-2022-23638)

    SPIP が特定の入力を適切にサニタイズしないことがわかりました。攻撃者は、この問題を利用して、クロスサイトスクリプティングを仕掛ける可能性があります。この問題の影響を受けるのは、Ubuntu 18.04 LTS のみです。(CVE-2022-28959)

    SPIP が特定の入力を適切にサニタイズしないことがわかりました。リモートの攻撃者がこの問題を悪用して、PHP インジェクション攻撃を仕掛ける可能性があります。この問題の影響を受けるのは、Ubuntu 18.04 LTS のみです。(CVE-2022-28960)

    SPIP が特定の入力を適切にサニタイズしないことがわかりました。リモートの攻撃者がこの問題を悪用して、SQLインジェクション攻撃を仕掛ける可能性があります。この問題の影響を受けるのは、Ubuntu 18.04 LTS のみです。(CVE-2022-28961)

    SPIP が特定の入力を適切にサニタイズしないことがわかりました。認証されたリモートの攻撃者がこの問題を利用して、任意のコードを実行する可能性があります。この問題の影響を受けるのは、Ubuntu 18.04 LTS のみです。
    (CVE-2022-37155)

    SPIP が特定の入力を適切にサニタイズしないことがわかりました。リモートの攻撃者がこの問題を悪用して、SQLインジェクション攻撃を仕掛ける可能性があります。この問題の影響を受けるのは、Ubuntu 18.04 LTS と Ubuntu 20.04 LTS のみです。(CVE-2023-24258)

    SPIP が特定の状況でシリアル化を適切に処理しないことがわかりました。リモートの攻撃者がこの問題を悪用して、任意のコードを実行する可能性があります。この問題の影響を受けるのは、Ubuntu 18.04 LTS と Ubuntu 20.04 LTS のみです。(CVE-2023-27372)

    SPIP が HTTP リクエストを適切にサニタイズしないことがわかりました。リモートの攻撃者がこの問題を悪用して、任意のコードを実行する可能性があります。(CVE-2024-8517)

Tenable は、前述の説明ブロックを Ubuntu セキュリティアドバイザリからすでに直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

検出

Ubuntu 18.04 LTS / 20.04 LTS / 24.10 : SPIP の脆弱性 (USN-7318-1)

critical Nessus プラグイン ID 218738

バージョン 1.2