Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - Picomatch は、JavaScript で記述された glob マッチャーです。 4.0.4、 3.0.2、および 2.3.2 以前のバージョンは、「POSIX_REGEX_SOURCE」オブジェクトに影響を与えるメソッドインジェクションの脆弱性に脆弱です。オブジェクトは「Object.prototype」から継承するため、特別に細工された POSIX 括弧表現例「[[:constructor:]]`」が継承されたメソッド名を参照できます。これらのメソッドは暗黙のうちに文字列に変換され、生成された正規表現に注入されます。これが正しくない glob 照合動作整合性への影響で、パターンが意図しないファイル名を照合する可能性があります。この問題によってリモートコードが実行されることはありませんが、フィルタリング、検証、アクセスコントロールをグロブマッチングに依存しているアプリケーションで、セキュリティ関連の論理エラーを引き起こす可能性があります。信頼できない、またはユーザー制御の glob パターンを処理する、影響を受ける「picomatch」バージョンの全ユーザーが、潜在的な影響を受けます。この問題は picomatch 4.0.4、 3.0.2 、 2.3.2で修正されています。ユーザーは、サポートされているリリースラインに応じて、これらのバージョンのいずれか以降にアップグレードする必要があります。アップグレードがすぐに不可能な場合は、信頼できない glob パターンを picomatch に渡すのを避けてください。考えられる軽減策には、信頼できないグロブパターン特に「[[:...:]]」などの POSIX 文字クラスを含むパターンをサニタイズまたは拒否することが含まれます。ユーザー入力が関係する場合、POSIX 括弧表現の使用を回避し、null プロトタイプを使用するように「POSIX_REGEX_SOURCE」を変更して、ライブラリに手動でパッチを適用します。CVE-2026-33672

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

検出

Linux Distros のパッチ未適用の脆弱性: CVE-2026-33672

medium Nessus プラグイン ID 304000

バージョン 1.2