Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - Node.js の権限モデルにおける不具合により、「--permission」が有効な場合、Unix ドメインソケット (UDS) 接続を使用してネットワーク制限をバイパスできる可能性があります。「--allow-net」が有効でない場合でも、攻撃者が制御可能な入力 (URL や socketPath オプションなど) を通じて、net、tls、または undici／fetch を使用し、任意のローカルソケットに接続できる可能性があります。これにより、権限モデルで想定されているセキュリティ境界が破られ、特権ローカルサービスへのアクセスが可能となります。その結果、権限昇格、データ漏洩、またはローカルでのコード実行につながる可能性があります。* この問題は、Node.js v25 の権限モデルを使用しているユーザーに影響を与えます。この脆弱性の発見時点では、ネットワーク権限 (「--allow-net」) は依然として実験的段階にあります。(CVE-2026-21636)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

検出

Linux Distros のパッチ未適用の脆弱性: CVE-2026-21636

critical Nessus プラグイン ID 286807

バージョン 1.3