Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - LibJWT は C JSON Web トークンライブラリです。バージョン 3.0.0 からバージョン 3.3.0より前のバージョンまで、JSON 文字列値の解析を期待する場合に、RSA-PSS 用の JWK 解析が NULL 値に対する保護を提供しませんでした。特別に細工された JWK ファイルにより、コードが文字列を期待する場所で整数を使用することで、この挙動を悪用する可能性があります。これは v3.3.0 で修正されました。回避策が利用可能です。JWK ファイルを通してキーをインポートするユーザーは、信頼できないソースからこれをインポートしないでください。「jwk2key」ツールを使用して JWK ファイルの有効性をチェックします。
    同様に、可能であれば、RSA-PSS 鍵を持つ JWK ファイルを使用しないでください。CVE-2026-33996

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

検出

Linux Distros のパッチ未適用の脆弱性: CVE-2026-33996

medium Nessus プラグイン ID 304156

バージョン 1.5