Linux Distros のパッチ未適用の脆弱性: CVE-2024-43788
medium Nessus プラグイン ID 228834
Language:
概要
Linux/Unix ホストには、ベンダーにより修正されていないことを示す脆弱性を持つ複数のパッケージがインストールされています。説明
Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。- Webpack はモジュールバンドラーです。その主な目的は、ブラウザで使用するために JavaScript ファイルをバンドルすることですが、ほぼすべてのリソースや資産を変換、バンドル、またはパッケージ化することもできます。Webpack の開発者は、Webpack の「AutoPublicPathRuntimeModule」で DOM Clobbering の脆弱性を発見しました。モジュールの DOM Clobbering ガジェットは、スクリプトのない攻撃者が制御する HTML 要素 (サニタイズされていない「name」属性を持つ「img」タグなど) が存在するウェブページでクロスサイトスクリプティング (XSS) を引き起こす可能性があります。
このガジェットの実際の悪用が Canvas LMS で観察されています。これにより、Webpack によってコンパイルされた javascript コードを介して XSS 攻撃を引き起こす可能性があります (脆弱な部分は Webpack からのものです)。DOM Clobbering はコード再利用攻撃の一種です。この攻撃では、攻撃者が最初に非スクリプトの、一見無害な HTML マークアップを Web ページに (投稿やコメントなどを通じて) 埋め込み、既存の javascript コードでガジェット (js コード) を利用して、それを実行可能コードに変換します。この脆弱性により、Webpack で生成されたファイルを含む Web サイトでクロスサイトスクリプティング (XSS) が引き起こされる可能性があり、ユーザーが不適切にサニタイズされた名前または id 属性を持つ特定のスクリプトのない HTML タグを挿入する可能性があります。この問題は、リリースバージョン 5.94.0 で対処されています。全ユーザーにアップグレードすることを推奨します。この問題についての既知の回避策はありません。(CVE-2024-43788)
Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。
ソリューション
現時点で既知の解決策はありません。プラグインの詳細
深刻度: Medium
ID: 228834
ファイル名: unpatched_CVE_2024_43788.nasl
バージョン: 1.1
タイプ: local
エージェント: unix
ファミリー: Misc.
公開日: 2025/3/5
更新日: 2025/3/5
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.8
CVSS v2
リスクファクター: Medium
基本値: 6.4
現状値: 5
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N
CVSS スコアのソース: CVE-2024-43788
CVSS v3
リスクファクター: Medium
基本値: 6.1
現状値: 5.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, global_settings/vendor_unpatched
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
脆弱性公開日: 2024/8/27
参照情報
CVE: CVE-2024-43788