検出

Linux Distros のパッチ未適用の脆弱性: CVE-2025-59840

high Nessus プラグイン ID 282582

Language:

概要

Linux/Unix ホストには、ベンダーにより修正されていないことを示す脆弱性を持つ複数のパッケージがインストールされています。

説明

Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

 - Vega はビジュアライゼーションの文法であり、インタラクティブなビジュアライゼーションデザインを作成、保存、共有するための宣言型の形式です。バージョン 6.2.0より前の Vega では、2 つの条件を満たすアプリケーションは、セーフモード式Interpreter が使用される場合でも、任意の JavaScript コード実行のリスクにさらされます。グローバル「window」に「vega」ライブラリと「vega.View」インスタンスを添付するアプリケーションで「vega」を使用する場合、およびユーザー定義の Vega の「JSON」定義を許可する場合、脆弱ですソースコードからのみ提供される JSON に対してです。パッチは、次の Vega アプリケーションで利用可能です。最新の Vega 行6.xを使用している場合、「vega」 `6.2.0` / `vega-expression `6.1.0` / `vega-interpreter` `2.2.1` にアップグレードしてくださいAST 評価モードを使用する場合。非 ESM 環境で Vega を使用する場合、「vega-expression」`5.2.1` / `1.2.1` にアップグレードしてくださいAST 評価モードを使用する場合。いくつかの回避策が利用可能です。「vega」View インスタンスをグローバル変数に添付せず、「vega」をグローバルウィンドウに添付しないでください。vega ライブラリおよび View インスタンスをアタッチするこれらの手順は、デバッグに便利である可能性がありますが、実稼働環境や、信頼できない当事者により vega/vega-lite の定義が提供される可能性のある状況では使用しないでください。CVE-2025-59840

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

ソリューション

現時点で既知の解決策はありません。

参考資料

https://security-tracker.debian.org/tracker/CVE-2025-59840

プラグインの詳細

深刻度: High

ID: 282582

ファイル名: unpatched_CVE_2025_59840.nasl

バージョン: 1.1

タイプ: local

エージェント: unix

ファミリー: Misc.

公開日: 2026/1/12

更新日: 2026/1/12

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.2

CVSS v2

リスクファクター: Medium

基本値: 5.5

現状値: 4.7

ベクトル: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:N

CVSS スコアのソース: CVE-2025-59840

CVSS v3

リスクファクター: High

基本値: 8.1

現状値: 7.4

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N

現状ベクトル: CVSS:3.0/E:U/RL:U/RC:C

脆弱性情報

CPE: cpe:/o:debian:debian_linux:14.0, cpe:/o:debian:debian_linux:12.0, p-cpe:/a:debian:debian_linux:vega.js, cpe:/o:debian:debian_linux:13.0

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, global_settings/vendor_unpatched, Host/OS/identifier

エクスプロイトの容易さ: No known exploits are available

脆弱性公開日: 2025/11/13

参照情報

CVE: CVE-2025-59840