Linux Distros のパッチ未適用の脆弱性: CVE-2026-47261

high Nessus プラグイン ID 321200

概要

Linux/Unix ホストには、ベンダーにより修正されていないことを示す脆弱性を持つ複数のパッケージがインストールされています。

説明

Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

- Wasmtime は、WebAssembly のランタイムです。24.0.9、36.0.10、44.0.2より前のバージョンでは、ファイルシステムのプリオープンにFilePerms::WRITEなしでDirPerms::all()とFilePerms::READが与えられたとき、OpenFlags::TRUNCATE oflagのみでファイルを開くことにより、このアクセス制御メカニズムをwasip2 descriptor.open-atまたはwasip1 path_openインターフェイスを介してバイパスできます。根本的な原因は、crates/wasi/src/filesystem.rs(Dir::open_at、行967969)のOpenFlags::TRUNCATEを取り扱う句が、|= OpenMode::WRITE;open_mode設定しなかったことです。これは、後にFilePermsに対するアクセスコントロールチェックでファイルを開くことが許可されているかどうかを判断するために使用されます。単一行の修正でその不足している割り当てが追加された後、影響を受ける呼び出しはそれぞれ error-code.not-permitted と ERRNO_PERM で正しく失敗します。このバグの影響を受けるのは、DirPerms::MUTATE と FilePerms::READ を組み合わせた wasmtime-wasi 埋め込みのみです。特に、Wasmtime プロジェクトの wasmtime-cli による wasmtime-wasi の使用は影響を受けません。これは、すべてのプリオープンに FilePerms::all() を常に設定するためです。この問題は、バージョン 24.0.9、 36.0.10 、および 44.0.2 で修正されました。
(CVE-2026-47261)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

ソリューション

現時点で既知の解決策はありません。

参考資料

https://security-tracker.debian.org/tracker/CVE-2026-47261

https://ubuntu.com/security/CVE-2026-47261

プラグインの詳細

深刻度: High

ID: 321200

ファイル名: unpatched_CVE_2026_47261.nasl

バージョン: 1.3

タイプ: Local

エージェント: unix

ファミリー: Misc.

公開日: 2026/6/16

更新日: 2026/6/21

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Tenable Cloud Security, Tenable Self-Hosted Container Security, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3

パーセンタイル: 23.73

CVSS v2

リスクファクター: Medium

基本値: 6.8

現状値: 5.8

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2026-47261

CVSS v3

リスクファクター: High

基本値: 7.5

現状値: 6.9

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

現状ベクトル: CVSS:3.0/E:U/RL:U/RC:C

脆弱性情報

CPE: cpe:/o:canonical:ubuntu_linux:25.10, cpe:/o:canonical:ubuntu_linux:24.04:-:lts, cpe:/o:canonical:ubuntu_linux:26.04:-:lts, p-cpe:/a:debian:debian_linux:rust-wasmtime, p-cpe:/a:canonical:ubuntu_linux:rust-wasmtime, cpe:/o:debian:debian_linux:13.0

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, global_settings/vendor_unpatched, Host/OS/identifier

エクスプロイトの容易さ: No known exploits are available

脆弱性公開日: 2026/6/5

参照情報

CVE: CVE-2026-47261