Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - lambdaisland/uri は、純粋な Clojure/ClojureScript URI ライブラリです。 1.14.120 「authority-regex」より前のバージョンでは、攻撃者が「lambdaisland/uri」で解析される悪意のある URL を送信し、誤った権限を返す可能性があります。この問題は に類似していますが、異なります CVE-2020-8910。問題の正規表現は、ユーザー名のバックスラッシュ`\`文字を正しく処理せず、不適切な出力を引き起こします。例「https://example.com\\@google.com` 」のペイロードは、ホストが「google.com」であることを返しますが、正しいホストは「example.com」である必要があります。ライブラリが誤った権限を返す場合、アプリケーションでのライブラリの使用方法によっては、ホスト制限をバイパスするために悪用される可能性があります。ユーザーにアップグレードすることを推奨します。
    この脆弱性に対する既知の回避策はありません。(CVE-2023-28628)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

検出

Linux Distros のパッチ未適用の脆弱性: CVE-2023-28628

medium Nessus プラグイン ID 262268

バージョン 1.5