Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - DOMPurify は、HTML、MathML、SVG 用の DOM 専用の超高速で超耐性の XSS サニタイザーです。特別なネスト化手法を使用している悪意のある HTML が、最近のリリースで DOMPurify に追加された深度チェックをバイパスする可能性があることが判明しました。また、Prototype Pollution を使用して深度チェックを弱めることも可能でした。
    これにより、dompurify はクロスサイトスクリプティング (XSS) 攻撃を回避できなくなります。この問題は、DOMPurify のバージョン 2.5.4、3.1.3 で対処されています。全ユーザーにアップグレードすることを推奨します。この脆弱性に対する既知の回避策はありません。(CVE-2024-45801)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

リモートホストで実行されている Atlassian Jira Server のバージョンは、JRASERVER-78199 アドバイザリに記載されている脆弱性の影響を受けます。

  - DOMPurify は、HTML、MathML、SVG 用の DOM 専用の超高速で超耐性の XSS サニタイザーです。悪意のある HTML が特別なネスト技術を使用し、最近のリリースで DOMPurify に追加された深度チェックをバイパスできることが判明しました。また、Prototype Pollution を使用して深度チェックを弱めることも可能でした。
    これにより、dompurify はクロスサイトスクリプティング (XSS) 攻撃を回避できなくなります。この問題は、DOMPurify のバージョン 2.5.4、3.1.3 で対処されています。全ユーザーにアップグレードすることを推奨します。この脆弱性に対する既知の回避策はありません。(CVE-2024-45801)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートホストにインストールされている Solarwinds Web Help Desk のバージョンは、12.8.4 以前です。したがって、12.8.4 リリースノートに記載されている複数の脆弱性の影響を受けます。

  - 2.0.17 より前の Cure53 DOMPurify では、変異 XSS が可能です。これは、FORM 要素のネスト化で実証されているように、シリアライズパースのラウンドトリップが元の DOM ツリーを返すとは限らず、名前空間が HTML から MathML に変更される可能性があるために発生します。(CVE-2020-26870)

  - SolarWinds Web Help Desk は、ローカルファイル読み取りの脆弱性に影響を受けやすくなっています。この脆弱性を利用するには、ソフトウェアを Linux にインストールし、非デフォルトの開発/テストモードを使用するように構成する必要があります。これにより、脆弱性にさらされる可能性が非常に制限されます。(CVE-2024-45709)

  - DOMPurify は、HTML、MathML、SVG 用の DOM 専用の超高速で超耐性の XSS サニタイザーです。悪意のある HTML が特別なネスト技術を使用し、最近のリリースで DOMPurify に追加された深度チェックをバイパスできることが判明しました。また、Prototype Pollution を使用して深度チェックを弱めることも可能でした。
    これにより、dompurify はクロスサイトスクリプティング (XSS) 攻撃を回避できなくなります。この問題は、DOMPurify のバージョン 2.5.4、3.1.3 で対処されています。全ユーザーにアップグレードすることを推奨します。この脆弱性に対する既知の回避策はありません。(CVE-2024-45801)

  - DOMPurify は、HTML、MathML、SVG 用の DOM 専用の超高速で超耐性の XSS サニタイザーです。DOMpurify は、ネストベースの mXSS に対して脆弱でした。この脆弱性は、2.5.0 および 3.1.3 で修正されています。(CVE-2024-47875)

  - DOMPurify は、HTML、MathML、SVG 用の DOM 専用の超高速で超耐性の XSS サニタイザーです。DOMPurify はプロトタイプ汚染に対して脆弱でした。この脆弱性は 2.4.2 で修正されました。(CVE-2024-48910)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 8 / 9 ホストに、RHSA-2024:10762 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    Red Hat Ansible Automation Platform は、IT 自動化を大規模に構築、デプロイ、管理するためのエンタープライズフレームワークを提供します。IT マネージャーは、自動化を個々のチームに適用する方法に関するトップダウンのガイドラインを提供する一方、自動化開発者は、オーバーヘッドなしに既存の知識を活用するタスクを自由に記述できます。Ansible Automation Platform を使用すると、企業全体のユーザーは、シンプルで強力なエージェントレスの言語を使用して、自動化コンテンツを共有、精査、管理できます。

    セキュリティ修正プログラム:
    * automation-controller: dompurify: プロトタイプ汚染による XSS の脆弱性 (CVE-2024-45801)
    * automation-controller: path-to-regexp: 正規表現のバックトラッキングにより ReDoS が引き起こされます (CVE-2024-45296)
    * ansible-core: 不適切なロギングによる Ansible Vault ファイルの機密情報の漏洩 (CVE-2024-8775)
    * ansible-core: ansible-core ユーザーが認証されていないコンテンツを読み取る/書き込む可能性があります (CVE-2024-9902)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

    オートメーションコントローラーの更新と修正。
    * ルール間隔が HOURLY または MINUTELY に設定されていたときの不適切な時間のジョブスケジュールの実行を修正します (AAP-36573)
    * 機密データがジョブ出力に表示される問題を修正しました (AAP-35582)
    * この更新では、冗長性が 2 より大きいときに構築されたインベントリを保存できるようになりました (AAP-35570)
    * 関連していないジョブが他のジョブとの依存関係としてマークされる可能性があるバグを修正 (AAP-35310)
    * Bitbucket Data Center から Webhook を受信するためのサポートを追加し、ビルドステータスを戻すためのサポートを追加します (AAP-35013)
    * 通知に組織フィールドがないか NULL の場合に、通知リストにエラーが発生しなくなりました (AAP-34051)
    * Thycotic シークレットサーバーの認証情報フォームフィールドが不一致になる問題を修正しました (AAP-31236)
    * automation-controller は 4.5.13 に更新されました

    receptor の更新と修正:
    * Receptor ランタイムパニックエラーを引き起こす問題を修正しました (AAP-36477)
    * receptor は 1.5.1 に更新されました 

    インストーラーとセットアップの更新と修正:
    * 現在は「receptor_datadir」変数を使用して Receptor データディレクトリを設定できます (AAP-36699)
    * オートメーションコントローラーの更新後に metrics-utility コマンドの実行が失敗する問題を修正しました (AAP-36567)
    * ディスパッチャーサービスが FATAL ステータスになり、データベースが数分間停止した後に新しいジョブを処理できない問題を修正 (AAP-36456)
    * バックアップの復元後にデータベースの RBAC に不適切な ID が表示される問題を修正しました (AAP-35311)
    * この更新により、CA または主要な情報を含むインストーラータスクが難読化されます (AAP-27480)
    * インストーラーとセットアップが 2.4-8 に更新されました

    注意: 2.4-8 インストーラーは、2.4-8 以降でのみ作成されたバックアップを復元できます。 2.4-8 以降へのアップグレードの前後に、必ずバックアップを作成してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートホストで実行されている Atlassian Jira Service Management Data Center and Server (Jira Service Desk) のバージョンは、JSDSERVER-15689 のアドバイザリに記載された脆弱性の影響を受けます。

  - DOMPurify は、HTML、MathML、SVG 用の DOM 専用の超高速で超耐性の XSS サニタイザーです。悪意のある HTML が特別なネスト技術を使用し、最近のリリースで DOMPurify に追加された深度チェックをバイパスできることが判明しました。また、Prototype Pollution を使用して深度チェックを弱めることも可能でした。
    これにより、dompurify はクロスサイトスクリプティング (XSS) 攻撃を回避できなくなります。この問題は、DOMPurify のバージョン 2.5.4、3.1.3 で対処されています。全ユーザーにアップグレードすることを推奨します。この脆弱性に対する既知の回避策はありません。(CVE-2024-45801)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ID	名前	製品	ファミリー	公開日	更新日	深刻度
229445	Linux Distros のパッチ未適用の脆弱性: CVE-2024-45801	Nessus	Misc.	2025/3/5	2025/9/15	high
213704	Atlassian Jira 9.4.x < 9.4.28 / 9.12.x < 9.12.15 / 9.17.x < 9.17.4 / 10.0.x < 10.1.1 XSS (JRASERVER-78199)	Nessus	CGI abuses : XSS	2025/1/10	2025/1/10	high
213005	SolarWinds Web Help Desk < 12.8.4 複数の脆弱性	Nessus	CGI abuses	2024/12/13	2025/3/21	medium
212033	RHEL 8 / 9 : Red Hat Ansible Automation Platform 2.4 製品セキュリティおよびバグ修正プログラムの更新 (重要度中) (RHSA-2024:10762)	Nessus	Red Hat Local Security Checks	2024/12/3	2024/12/3	high
214005	Atlassian Jira Service Management Data Center および Server 5.4.x < 5.4.28/5.12.x < 5.12.15/5.17.x < 5.17.4/10.0.x < 10.1.1 の XSS (JSDSERVER-15689)	Nessus	Misc.	2025/1/13	2025/1/13	high

検出

プラグインの検索

high

high

medium

high

high