Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - jq は、コマンドラインの JSON プロセッサです。6374ae0bcdfe33a18eb0ae6db28493b1f34a0a5bより前のコミットには、CLI入力解析によって埋め込まれたNULバイトを介して検証をバイパスできる脆弱性が含まれています。ファイルまたは stdin から JSON を読み取る際、jq は、fgets() からの実際のバイトカウントではなく、バッファ長を決定するために strlen() を使用します。このため、最初の NULL バイトで入力が切り捨てられ、その前のプレフィックスのみを解析します。これにより、攻撃者は NULL バイトの前に悪意のある末尾データが続く、無害な JSON プレフィックスのある入力を細工することができます。このとき、jq はプレフィックスのみを有効な JSON として検証し、サイレントにサフィックスを破棄します。
    ダウンストリームの消費者に転送する前に信頼できない JSON を検証するために jq に依存するワークフローは、パーサー差分攻撃の影響を受けやすくなります。これは、これらの消費者が、悪意のある末尾のバイトを含む完全な入力を処理する可能性があるためです。この問題は、コミット 6374ae0bcdfe33a18eb0ae6db28493b1f34a0a5b によりパッチされています。
    (CVE-2026-33948)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

検出

Linux Distros のパッチ未適用の脆弱性: CVE-2026-33948

medium Nessus プラグイン ID 306406

バージョン 1.5