Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - 軽量 Web 開発フレームワークである Preact は、Virtual DOM 要素が任意の JSON から構築されるのを防ぐための JSON シリアル化保護です。Preact 10.26.5 で導入された回帰により、この保護が弱体化されました。JSON ペイロードからの値が文字列であると仮定され、変更されずに Preact に子として渡されるアプリケーションでは、特別に細工された JSON ペイロードが構築され、有効な VNode として誤って扱われる可能性があります。この一連の失敗が発生すると、HTML インジェクションが発生する可能性があり、CSP やその他の手段で緩和しない場合は、任意のスクリプトを実行される可能性があります。影響を受けるPreactバージョンを使用しているアプリケーションは、次のすべての条件を満たす場合に脆弱です。まず、ユーザーが変更可能なデータソースAPI、データベース、ローカルストレージなどから、変更されていないサニタイズされていない値をレンダーツリーに直接渡します。では、これらの値が文字列であると仮定しますが、データソースは JSON 文字列の代わりに実際の JavaScript オブジェクトを返す可能性があります。および第 3 に、データソースが型サニタイズの実行に失敗し、かつ生のオブジェクトを文字列と互換的に格納/返し、または危険にさらされている場合 (例: ポイズニングされたローカルストレージ、ファイルシステム、またはデータベース)。バージョン 10.26.10、 10.27.3、 10.28.2 では、この問題のパッチが適用されます。
    パッチバージョン は、JSON 解析されたオブジェクトが有効な VNode として扱われないように、以前の厳格な等価性チェックを復元します。すぐにアップグレードできないユーザーは、他の緩和策を利用できます。
    入力タイプを検証し、ネットワークデータをキャストまたは検証し、外部データをサニタイズし、コンテンツセキュリティポリシー (CSP) を使用します。CVE-2026-22028

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

検出

Linux Distros のパッチ未適用の脆弱性: CVE-2026-22028

critical Nessus プラグイン ID 282480

バージョン 1.6