検出

Nutanix AHV:複数の脆弱性(NXSA-AHV-10.0.1.3)

high Nessus プラグイン ID 258029

Language:

概要

Nutanix AHV ホストは、複数の脆弱性の影響を受けます。

説明

リモートホストにインストールされたAHVのバージョンはAHV-10.0.1.3以前です。したがって、NXSA-AHV-10.0.1.3アドバイザリで言及されている複数の脆弱性の影響を受けています。

 - 1.9.2 より前の LZ4 では、LZ4_write32 にヒープベースのバッファオーバーフローがあり (LZ4_compress_destSize に関連)、大きな入力で LZ4_compress_fast を呼び出すアプリケーションに影響を与えます。(この問題はデータの破損につながることもあります。)注:ベンダーは、APIの特定の/珍しい用途のみがリスクにさらされていると述べています。
 (CVE-2019-17543)

 - setuptools は、ユーザーが Python パッケージをダウンロード、ビルド、インストール、アップグレード、アンインストールできるパッケージです。バージョン 78.1.1 より前の setuptools に「PackageIndex」のパストラバーサルの脆弱性が見つかりました。攻撃者が、Python コードを実行しているプロセスのアクセス許可で、ファイルシステム上の任意の場所にファイルを書き込む可能性があり、コンテキストによってはリモートコード実行にエスカレートする可能性があります。バージョン 78.1.1 ではこの問題が修正されています。(CVE-2025-47273)

 - libxml2 に use-after-free の脆弱性が見つかりました。この問題は、XML スキマトロンに <sch:name path=.../> スキーマ要素が含まれる場合、特定の条件下で XPath 要素を解析する際に発生します。この欠陥により、悪意のある攻撃者は、libxml の入力として使用される悪意ある XML ドキュメントを作成でき、その結果、libxml を使用してプログラムをクラッシュさせたり、その他の未定義の動作を起こしたりする可能性があります。(CVE-2025-49794)

 - libxml2 に脆弱性が見つかりました。入力 XML ファイルから特定の sch:name 要素を処理すると、メモリ破損の問題が発生する可能性があります。この欠陥により、攻撃者が悪意のある XML 入力ファイルを作成して libxml をクラッシュさせ、機密データがメモリで破損することで、サービス拒否やその他の未定義の動作を引き起こす可能性があります。(CVE-2025-49796)

 libxml2 の xmlBuildQName 関数で欠陥が見つかりました。バッファサイズ計算の整数オーバーフローにより、スタックベースのバッファオーバーフローが発生する可能性があります。この問題により、細工された入力を処理する際にメモリ破損やサービス拒否が発生する可能性があります。(CVE-2025-6021)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

Nutanix AHV ソフトウェアを推奨バージョンに更新してください。アップグレードの前に: このクラスタを Prism Central に登録する場合は、まず Prism Central を互換性のあるバージョンにアップグレードしてください。Nutanix ポータルのソフトウェア製品の相互運用性ページを参照してください。

参考資料

http://www.nessus.org/u?f779238d

プラグインの詳細

深刻度: High

ID: 258029

ファイル名: nutanix_NXSA-AHV-10_0_1_3.nasl

バージョン: 1.2

タイプ: Local

ファミリー: Misc.

公開日: 2025/8/27

更新日: 2026/4/29

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: High

スコア: 7.9

CVSS v2

リスクファクター: Medium

基本値: 6.8

現状値: 5.3

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2019-17543

CVSS v3

リスクファクター: High

基本値: 8.8

現状値: 7.9

ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

CVSS スコアのソース: CVE-2025-47273

CVSS v4

リスクファクター: High

Base Score: 8.7

Threat Score: 6.6

Threat Vector: CVSS:4.0/E:P

Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N

CVSS スコアのソース: CVE-2025-48060

脆弱性情報

CPE: cpe:/o:nutanix:ahv

必要な KB アイテム: Host/Nutanix/Data/Node/Version, Host/Nutanix/Data/Node/Type

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2025/8/26

脆弱性公開日: 2023/9/26

参照情報

CVE: CVE-2019-17543, CVE-2023-40403, CVE-2024-12718, CVE-2024-23337, CVE-2024-34397, CVE-2024-52533, CVE-2024-54661, CVE-2025-32462, CVE-2025-4138, CVE-2025-4330, CVE-2025-4373, CVE-2025-4435, CVE-2025-4517, CVE-2025-47273, CVE-2025-4802, CVE-2025-48060, CVE-2025-49794, CVE-2025-49796, CVE-2025-6020, CVE-2025-6021, CVE-2025-7425