リモートの Redhat Enterprise Linux 8 ホストには、RHSA-2025:3492 のアドバイザリに記載された脆弱性の影響を受けるパッケージがインストールされています。

    Red Hat Satellite はシステム管理ソリューションです。これを使用することで組織は、組織のサーバーやその他クライアントシステムにパブリックインターネットアクセスを提供することなく、システムの設定や維持を行うことができるようになります。また、このソリューションは、事前に定義された標準のオペレーティング環境のプロビジョニングや設定管理も行います。

    セキュリティ修正プログラム:

    * rubygem-graphql: 細工された GraphQL スキーマをロードするときのリモートコード実行 (CVE-2025-27407)

    * rubygem-rack: Rack::Static のローカルファイルインクルード (CVE-2025-27610)

    カーネルのユーザーは、これらの更新済みのパッケージへアップグレードし、これらのバグを修正することが推奨されます。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 9 ホストに、RHSA-2025:4576 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    Red Hat Satellite はシステム管理ソリューションです。これを使用することで組織は、組織のサーバーやその他クライアントシステムにパブリックインターネットアクセスを提供することなく、システムの設定や維持を行うことができるようになります。また、このソリューションは、事前に定義された標準のオペレーティング環境のプロビジョニングや設定管理も行います。

    セキュリティ修正プログラム:
    * python-djangoIPv6 検証における潜在的なサービス拒否の脆弱性CVE-2024-56374
    * python-jinja2フォーマットメソッドへの間接参照を通じたサンドボックスの脱出CVE-2024-56326
    * rubygem-rack: Rack::Static のローカルファイルインクルード (CVE-2025-27610)
    * rubygem-graphql: 細工された GraphQL スキーマをロードするときのリモートコード実行 (CVE-2025-27407)

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの Redhat Enterprise Linux 8/9 ホストには、RHSA-2025:3490 のアドバイザリに記載された脆弱性の影響を受けるパッケージがインストールされています。

    Red Hat Satellite はシステム管理ソリューションです。これを使用することで組織は、組織のサーバーやその他クライアントシステムにパブリックインターネットアクセスを提供することなく、システムの設定や維持を行うことができるようになります。また、このソリューションは、事前に定義された標準のオペレーティング環境のプロビジョニングや設定管理も行います。

    セキュリティ修正プログラム:

    * rubygem-rack: Rack::Static のローカルファイルインクルード (CVE-2025-27610)

    * rubygem-graphql: 細工された GraphQL スキーマをロードするときのリモートコード実行 (CVE-2025-27407)

    カーネルのユーザーは、これらの更新済みのパッケージへアップグレードし、これらのバグを修正することが推奨されます。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - graphql-ruby は GraphQL の Ruby 実装です。バージョン 1.11.5 で起動してから、 1.11.8、 1.12.25、[] 、 1.13.24、 2.0.32、[] 、[] 、 2.1.14、[] 、 2.2.17、[] 、および 2.3.21で起動し、「GraphQL::Schema.from_introspection」で悪意のあるスキーマ定義をロードしますまたは「GraphQL :Schema::Loader.load`) により、リモートコードが実行される可能性があります。GraphQL::Client を使用して GraphQL イントロスぺクション経由で外部スキーマをロードするシステムを含め、信頼できないソースから JSON によってスキーマをロードするシステムはすべて脆弱です。バージョン 1.11.8、 1.12.25、 1.13.24、 2.0.32、 2.1.14、 2.2.17、 2.3.21 には、 の問題用のパッチが含まれています。CVE-2025-27407

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

リモートホストにインストールされている FreeBSD のバージョンは、テスト済みバージョンより前です。したがって、a435609c-ffd5-11ef-b4e4-2cf05da270f3 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

    Gitlab レポート
    CVE-2025-25291 および CVE-2025-25292 (サードパーティの gem ruby-saml) CVE-2025-27407 (サードパーティの gem graphql) 信頼されていない入力の非効率的な処理によるサービス拒否、リポジトリのミラーリング失敗時に資格情報が漏洩する、無制限フィールドの影響により GitLab の承認ルールにおけるサービス拒否の脆弱性が生じる、マージリクエストの内部ノートがレビュー送信時に非メンバーへ送信される、メンテナーが Google 統合においてシェルコードを注入できる、カスタム管理グループのアクセス許可を持つゲストが、ユーザー上限を超えて招待を承認できる

Tenable は、前述の記述ブロックを FreeBSD セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの Redhat Enterprise Linux 8 ホストには、RHSA-2025:3491 のアドバイザリに記載された脆弱性の影響を受けるパッケージがインストールされています。

    Red Hat Satellite はシステム管理ソリューションです。これを使用することで組織は、組織のサーバーやその他クライアントシステムにパブリックインターネットアクセスを提供することなく、システムの設定や維持を行うことができるようになります。また、このソリューションは、事前に定義された標準のオペレーティング環境のプロビジョニングや設定管理も行います。

    セキュリティ修正プログラム:

    * rubygem-graphql: 細工された GraphQL スキーマをロードするときのリモートコード実行 (CVE-2025-27407)

    * rubygem-rack: Rack::Static のローカルファイルインクルード (CVE-2025-27610)

    * python-jinja2: Jinja には、悪意のあるファイル名によるサンドボックスブレイクアウトが存在します (CVE-2024-56201)

    カーネルのユーザーは、これらの更新済みのパッケージへアップグレードし、これらのバグを修正することが推奨されます。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートのDebian 11ホストには、dla-4263アドバイザリに記載された脆弱性の影響を受けるパッケージがインストールされています。

    - -------------------------------------------------- ---------------------- Debian LTS アドバイザリ DLA-4263-1 debian-lts@lists.debian.org https://www.debian.org/lts/security/Utkarsh Gupta 2025 年 8 月 4 日 https://wiki.debian.org/LTS
    - -----------------------------------------------------------------------

    パッケージ ruby-graphql バージョン1.11.12-0+deb11u1 CVE ID CVE-2025-27407 Debian バグ1100442

    ruby-graphql は Ruby 用の GraphQL 言語およびランタイムです。「GraphQL::Schema.from_introspection」または「GraphQL::Schema::Loader.load」で悪意のあるスキーマ定義をロードすることで、リモートコードが実行される可能性があることが判明しました。
    GraphQL::Client を使用して GraphQL イントロスぺクション経由で外部スキーマをロードするシステムを含め、信頼できないソースから JSON によってスキーマをロードするシステムはすべて脆弱です。

    Debian 11 Bullseyeでは、この問題はバージョン1.11.12-0+deb11u1で修正されました。

    ruby-graphql パッケージをアップグレードすることを推奨します。

    ruby-graphql の詳細なセキュリティステータスについては、次のセキュリティ追跡ページを参照してください
    https://security-tracker.debian.org/tracker/ruby-graphql

    Debian LTS セキュリティアドバイザリに関する詳細、これらの更新をシステムに適用する方法、およびよくある質問については、こちらを参照してください。https://wiki.debian.org/LTS

Tenable は、前述の説明ブロックを Debian セキュリティアドバイザリから直接抽出しました。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ID	名前	製品	ファミリー	公開日	更新日	深刻度
233923	RHEL 8: Satellite 6.14.4.5 Async の更新 (重要度高) (RHSA-2025:3492)	Nessus	Red Hat Local Security Checks	2025/4/5	2025/6/6	critical
235426	RHEL 9Satellite 6.17.0 重要度高RHSA-2025:4576	Nessus	Red Hat Local Security Checks	2025/5/7	2025/6/5	medium
233911	RHEL 8/9: Satellite 6.16.4 Async の更新 (重要度高) (RHSA-2025:3490)	Nessus	Red Hat Local Security Checks	2025/4/5	2025/6/6	critical
252346	Linux Distros のパッチ未適用の脆弱性: CVE-2025-27407	Nessus	Misc.	2025/8/20	2025/10/14	critical
232721	FreeBSD : Gitlab -- 脆弱性 (a435609c-ffd5-11ef-b4e4-2cf05da270f3)	Nessus	FreeBSD Local Security Checks	2025/3/14	2025/3/28	critical
233927	RHEL 8: Satellite 6.15.5.2 Async の更新 (重要度高) (RHSA-2025:3491)	Nessus	Red Hat Local Security Checks	2025/4/5	2025/6/6	medium
243314	Debian dla-4263 : ruby-graphql - セキュリティ更新	Nessus	Debian Local Security Checks	2025/8/4	2025/8/4	critical

検出

プラグインの検索

critical

medium

critical

critical

critical

medium

critical