Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - iCalendar は、RFC-5545 で定義された iCalendar 形式の iCalendar ファイルを処理するための Ruby ライブラリです。
    バージョン 2.0.02.12.2およびより前のバージョン から、.ics シリアル化は URI プロパティ値を適切にサニタイズしないため、攻撃者が制御する入力を通じた ICS インジェクションが可能になり、任意のカレンダーラインが出力に追加されます。 「Icalendar::Values::Uri」は、「URI.parse」が失敗し、その後に「\r」または「\n」の文字を削除またはエスケープせずに「value.to_s」でシリアル化します。その値は、通常のシリアライザーによって最後の ICS 行に直接埋め込まれるため、CRLF が含まれているペイロードは、元のプロパティを終了させ、新しい ICS プロパティまたはコンポーネントを作成することができます。このため、URL、ソース、画像、主催者、添付、参加者、会議、tzurl を介して注入できるようです。部分的に信頼できないメタデータから「.ics」ファイルを生成するアプリケーションが影響を受けます。その結果、ダウンストリームのカレンダークライアントまたはインポーターが、追加された出席者、変更された URL、アラーム、その他のカレンダーフィールドなどの正当なイベントデータであるかのように、攻撃者指定のコンテンツを処理する可能性があります。バージョン 2.12.2 には、この問題に対するパッチが含まれています。(CVE-2026-33635)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

検出

Linux Distros のパッチ未適用の脆弱性: CVE-2026-33635

medium Nessus プラグイン ID 304171

バージョン 1.3