Tenable Nessus 10.8.0 <= 10.8.6 / 10.9.0 < 10.9.6 / 10.10.0 <= 10.10.1 / 10.11.0 < 10.11.1 複数の脆弱性TNS-2025-24

critical Nessus プラグイン ID 278743

Language:

概要

リモートシステムにインストールされている Nessus のインスタンスは、複数の脆弱性の影響を受けます。

説明

自己報告されたバージョンによると、リモートホストで実行されているTenable Nessusアプリケーションは、 10.8.0 以前の 10.8.6、 10.9.0 より前の 10.9.6、 10.10.0 以前の 10.10.1 、 10.11.0 ]より前の 10.11.1です。したがって、TNS-2025-24 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

- 1.1.43 以前の libxslt の xsltGetInheritedNsList には、結果のプレフィックスの除外に関連する use-after-free の問題があります。(CVE-2024-55549)

- libxml2 に use-after-free の脆弱性が見つかりました。この問題は、XML スキマトロンに <sch:name path=.../> スキーマ要素が含まれる場合、特定の条件下で XPath 要素を解析する際に発生します。この欠陥により、悪意のある攻撃者は、libxml の入力として使用される悪意ある XML ドキュメントを作成でき、その結果、libxml を使用してプログラムをクラッシュさせたり、その他の未定義の動作を起こしたりする可能性があります。(CVE-2025-49794)

- libxml2 に脆弱性が見つかりました。入力 XML ファイルから特定の sch:name 要素を処理すると、メモリ破損の問題が発生する可能性があります。この欠陥により、攻撃者が悪意のある XML 入力ファイルを作成して libxml をクラッシュさせ、機密データがメモリで破損することで、サービス拒否やその他の未定義の動作を引き起こす可能性があります。(CVE-2025-49796)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。