远程 Redhat Enterprise Linux 8 主机上安装的一个或多个程序包受到供应商已确认但并未提供补丁的多个漏洞影响。

  - nodejs-hosted-git-info：通过 fromUrl() 中的 shortcutMatch 可触发正则表达式拒绝服务攻击 (CVE-2021-23362)

  - loader-utils：parseQuery.js 的 parseQuery 函数中的原型污染 (CVE-2022-37601)

  - ssri 5.2.2-8.0.0 版会使用易受拒绝服务攻击的正则表达式处理 SRI，此问题已在 8.0.1 版中修正。恶意 SRI 可能需要很长时间来处理，从而会导致拒绝服务。此问题仅影响使用 strict 选项的用户。(CVE-2021-27290)

请注意，Nessus 并未测试这些问题，而是依赖于程序包管理器报告是否已安装程序包。

检测

RHEL 8：pcs（未修补的漏洞）

critical Nessus 插件 ID 202316

版本 1.3