Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - systeminformation は、node.js 用のシステムおよび OS 情報ライブラリです。5.30.8 より前のバージョンでは、「wifiNetworks()」関数にコマンドインジェクションの脆弱性があるため、攻撃者が再試行コードパスのサニタイズされていないネットワークインターフェースパラメーターを介して、任意の OS コマンドを実行することが可能です。「lib/wifi.js」では、「wifiNetworks()」関数が最初の呼び出し (437 行目) で「iface」パラメーターをサニタイズします。ただし、最初のスキャンが返す結果が空の場合は、「setTimeout」再試行 (440-441 行目) が **元のサニタイズされていない**「iface」値で「getWifiNetworkListIw(iface)」を呼び出し、これが「execSync('iwlist ${iface} scan')」に直接渡されます。ユーザーコントロールの入力を「si.wifiNetworks()」に渡すアプリケーションは、Node.js プロセスの権限による任意のコマンドの実行に対して脆弱です。バージョン 5.30.8 ではこの問題が修正されています。(CVE-2026-26280)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

検出

Linux Distros のパッチ未適用の脆弱性: CVE-2026-26280

high Nessus プラグイン ID 318542

バージョン 1.3

バージョン 1.2

バージョン 1.1

バージョン 1.3 Jun 10, 2026, 6:51 AM CVSS metrics ("CVSSv2 score" set to 6.8) CVSS metrics ("CVSSv2 vector" set to "CVSS2#AV:L/AC:L/Au:S/C:C/I:C/A:C") CVSSv2 severity (based on CVE-2026-26280, severity decreased from "High" to "Medium") Plugin Feed: 202606100651
バージョン 1.2 Jun 9, 2026, 4:51 AM Detection (updated detection logic) Plugin metadata Plugin Feed: 202606090451
バージョン 1.1 Jun 4, 2026, 6:01 AM New Plugin Feed: 202606040601