Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - PyJWTは、PythonのJSON Webトークン実装です。2.13.0の前に、PyJWKClient.get_signing_key()は、レート制限なしで、未知のキッド値を持つすべてのJWTに対してJWKSエンドポイントへの新しいHTTPリクエストを強制します。
    kid は未検証のトークンヘッダーから来ているため、攻撃者は無制限のアウトバウンドリクエストを発生させることができます。この脆弱性は、JWKS フェッチが失敗した場合にのみ表面化します。攻撃者は、持続的な未知の子供のトラフィックでこれを誘発しようとすることができますが、結果は攻撃者の制御が及ばないアップストリームのJWKSエンドポイントの動作(レート制限、一時的なエラー)に依存します。この脆弱性は 2.13.0 で修正されています。
    (CVE-2026-48524)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

検出

Linux Distros のパッチ未適用の脆弱性: CVE-2026-48524

low Nessus プラグイン ID 317822

バージョン 1.4