Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - Perl に対して 3.001000 より前の Config::IniFiles バージョンにより、_make_filehandle の -file 引数の 2-arg open() を介して、OS コマンドインジェクションおよびファイル上書きが可能になります。Config::IniFiles::_make_filehandle は、Perl の 2-arg open() でファイル名引数を開くため、パイプ(| cmd、cmd |)で始まる/終わるファイル名(| cmd、cmd |)あるいはリダイレクト(>パス、>>パス)で始まるファイル名は、ファイルとして開かれるのではなく、コマンドまたはリダイレクトとして実行されます。ヘルパーは、文書化された -file 引数の背後にあるオープンパスです: new(-file => $thing) は ReadConfig を介して到達します。メモリ内のスカラー参照(-file => \$text)はパスを開かず、影響を受けません。-file 引数へ信頼できない入力を転送する呼び出し元が、任意のコマンドを実行したり、プロセス UID 下のファイルを切り捨てたりする可能性があります。(CVE-2026-11527)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

検出

Linux Distros のパッチ未適用の脆弱性: CVE-2026-11527

high Nessus プラグイン ID 321076

バージョン 1.2