Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - Requests は HTTP ライブラリです。バージョン 2.33.0より前のバージョンでは、「requests.utils.extract_zipped_paths()」ユーティリティ関数が、zip アーカイブからシステムの一時ディレクトリにファイルを抽出する際に、予測可能なファイル名を使用していました。ターゲットファイルが既に存在する場合、検証なしで再利用されます。一時ディレクトリへの書き込み権限を持つローカルの攻撃者が、正当なファイルの代わりに読み込まれる悪意のあるファイルを事前に作成する可能性があります。リクエストライブラリの標準的な使用率は、この脆弱性の影響を受けません。「extract_zipped_paths()」を直接呼び出すアプリケーションのみが影響を受けます。バージョン 2.33.0以降、このライブラリはファイルを非決定性の場所に抽出します。開発者がアップグレードできない場合、環境の「TMPDIR」を書き込みアクセス制限付きディレクトリに設定できます。CVE-2026-25645

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

検出

Linux Distros のパッチ未適用の脆弱性: CVE-2026-25645

medium Nessus プラグイン ID 303843

バージョン 1.3