検出

Azure Linux 3.0 セキュリティ更新python-tensorboardCVE-2024-43788]

medium Nessus プラグイン ID 296057

Language:

概要

リモートの Azure Linux ホストに 1 つ以上のセキュリティ更新プログラムがありません。

説明

リモートの Azure Linux 3.0 ホストにインストールされている python-tensorboard のバージョンは、 より前のバージョンです。したがって、CVE-2024-43788 のアドバイザリに記載されている脆弱性の影響を受けます。

 - Webpack はモジュールバンドルです。その主な目的は、ブラウザで使用するために JavaScript ファイルをバンドルすることですが、ほぼすべてのリソースや資産を変換、バンドル、またはパッケージ化することもできます。Webpack の開発者は、Webpack の「AutoPublicPathRuntimeModule」で DOM Clobbering の脆弱性を発見しました。モジュールの DOM Clobbering ガジェットは、スクリプトのない攻撃者が制御する HTML 要素 (サニタイズされていない「name」属性を持つ「img」タグなど) が存在するウェブページでクロスサイトスクリプティング (XSS) を引き起こす可能性があります。
 このガジェットの実際の悪用が Canvas LMS で観察されています。これにより、Webpack によってコンパイルされた javascript コードを介して XSS 攻撃を引き起こす可能性があります (脆弱な部分は Webpack からのものです)。DOM Clobbering はコード再利用攻撃の一種です。この攻撃では、攻撃者が最初に非スクリプトの、一見無害な HTML マークアップを Web ページに (投稿やコメントなどを通じて) 埋め込み、既存の javascript コードでガジェット (js コード) を利用して、それを実行可能コードに変換します。この脆弱性により、Webpack で生成されたファイルを含む Web サイトでクロスサイトスクリプティング (XSS) が引き起こされる可能性があり、ユーザーが不適切にサニタイズされた名前または id 属性を持つ特定のスクリプトのない HTML タグを挿入する可能性があります。この問題は、リリースバージョン 5.94.0 で対処されています。全ユーザーにアップグレードすることを推奨します。この問題についての既知の回避策はありません。(CVE-2024-43788)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://nvd.nist.gov/vuln/detail/CVE-2024-43788

プラグインの詳細

深刻度: Medium

ID: 296057

ファイル名: azure_linux_CVE-2024-43788.nasl

バージョン: 1.1

タイプ: local

公開日: 2026/1/22

更新日: 2026/1/22

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.8

CVSS v2

リスクファクター: Medium

基本値: 6.4

現状値: 5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N

CVSS スコアのソース: CVE-2024-43788

CVSS v3

リスクファクター: Medium

基本値: 6.1

現状値: 5.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

CVSS v4

リスクファクター: Medium

Base Score: 6.1

Threat Score: 5.6

Threat Vector: CVSS:4.0/E:P

Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:N/VC:L/VI:L/VA:H/SC:N/SI:N/SA:N

脆弱性情報

CPE: p-cpe:/a:microsoft:azure_linux:python3-tensorboard-data-server, p-cpe:/a:microsoft:azure_linux:python3-tensorboard, x-cpe:/o:microsoft:azure_linux

必要な KB アイテム: Host/local_checks_enabled, Host/AzureLinux/release, Host/AzureLinux/rpm-list, Host/cpu

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2024/10/8

脆弱性公開日: 2024/8/27

参照情報

CVE: CVE-2024-43788