検出

Linux Distros のパッチ未適用の脆弱性: CVE-2026-50556

high Nessus プラグイン ID 322229

Language:

概要

Linux/Unix ホストには、ベンダーにより修正されていないことを示す脆弱性を持つ複数のパッケージがインストールされています。

説明

Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

 - Angular は、TypeScript/JavaScript およびその他の言語を使用してモバイルおよびデスクトップの Web アプリケーションを構築するための開発プラットフォームです。22.0.0-rc.2より前、 21.2.16、 20.3.24、 19.2.25では、 <noscript> 要素のコンテンツをシリアル化するときに、クロスサイトスクリプティング(XSS)の脆弱性が@angular/platform-serverのDOMエミュレーション依存関係(domino)にあります。テンプレートバインディング ({{ value }} や [textContent] など) を使用して <noscript> 要素内の動的テキストコンテンツをレンダリングする場合、テンプレートエンジンは、ブラウザがコンテンツを安全にレンダリングすることを想定します。サーバーサイドレンダリング (SSR) では、domino はスクリプティングを有効にして構成されます。これは、 <noscript> が生のテキスト要素として扱われることを意味します。しかし、domino のシリアライザーは、DOM シリアル化中にクロージングタグのエスケープを必要とする生のテキスト要素のリストから <noscript> を完全に省略していました。結果として、バインドされた動的テキスト内の </noscript> の発生が、いかなる状況でもエスケープされることはありませんでした。エスケープされていない終了タグが出力 HTML に直接シリアル化されました(例:
 <noscript></noscript><script>alert(1)</script></noscript>)。ブラウザによって解析されると、 <noscript> ブロックが早期に閉じられるため、注入された <script> ブロックがユーザーのブラウザコンテキストで実行され、同一生成元クロスサイトスクリプティング(XSS)が引き起こされます。この脆弱性は、22.0.0-rc.2、 21.2.16、 20.3.24、 19.2.25 で修正されています。(CVE-2026-50556)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

ソリューション

現時点で既知の解決策はありません。

参考資料

https://security-tracker.debian.org/tracker/CVE-2026-50556

https://ubuntu.com/security/CVE-2026-50556

プラグインの詳細

深刻度: High

ID: 322229

ファイル名: unpatched_CVE_2026_50556.nasl

バージョン: 1.3

タイプ: Local

エージェント: unix

ファミリー: Misc.

公開日: 2026/6/23

更新日: 2026/6/25

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.8

CVSS v4

リスクファクター: High

Base Score: 8.6

Threat Score: 6.2

Threat Vector: CVSS:4.0/E:U

Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N

脆弱性情報

CPE: cpe:/o:debian:debian_linux:11.0, cpe:/o:canonical:ubuntu_linux:18.04:-:lts, cpe:/o:canonical:ubuntu_linux:16.04:-:lts, cpe:/o:canonical:ubuntu_linux:20.04:-:lts, cpe:/o:canonical:ubuntu_linux:22.04:-:lts, cpe:/o:debian:debian_linux:12.0, cpe:/o:canonical:ubuntu_linux:24.04:-:lts, cpe:/o:debian:debian_linux:13.0, p-cpe:/a:debian:debian_linux:angular.js, p-cpe:/a:canonical:ubuntu_linux:angular.js, cpe:/o:debian:debian_linux:14.0, cpe:/o:canonical:ubuntu_linux:25.10, cpe:/o:canonical:ubuntu_linux:26.04:-:lts

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, global_settings/vendor_unpatched, Host/OS/identifier

エクスプロイトの容易さ: No known exploits are available

脆弱性公開日: 2026/6/15

参照情報

CVE: CVE-2026-50556