检测

Linux Distros 未修补的漏洞:CVE-2024-43788

medium Nessus 插件 ID 228834

语言:

简介

Linux/Unix 主机上安装的一个或多个程序包存在漏洞,但供应商表示不会修补此漏洞。

描述

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响,而供应商没有提供补丁程序。

 - Webpack 是一个模块捆绑程序。其主要用途是捆绑 JavaScript 文件以在浏览器中使用,但它也能够转换、捆绑或打包几乎任何资源或资产。webpack 开发人员在 Webpack 的 `AutoPublicPathRuntimeModule` 中发现一个 DOM 重写漏洞。模块中的 DOM Crebbering 小工具可在存在受攻击者控制的无脚本 HTML 元素例如包含未审查“name”属性的“img”标签的网页中导致跨站脚本 (XSS)。
 已在 Canvas LMS 中发现该小工具的实际利用其允许通过由 Webpack 编译的 javascript 代码发生 XSS 攻击易受攻击部分来自 Webpack。DOM 破坏是一种代码重用攻击其中攻击者首先在网页中嵌入一段看似无害的非脚本 HTML 标记例如通过帖子或注释然后利用现有的 javascript 代码,以将其转换为可执行的代码。此漏洞可导致在包含 Webpack 生成文件的网站上出现跨站脚本 (XSS)并允许用户注入特定名称或 id 属性审查不正确的无脚本 HTML 标签。已在版本 5.94.0 中解决此问题。建议所有用户升级。目前尚无针对此问题的解决方案。(CVE-2024-43788)

请注意,Nessus 依赖供应商报告的程序包是否存在进行判断。

解决方案

目前尚未有任何已知的解决方案。

另见

https://access.redhat.com/security/cve/cve-2024-43788

https://security-tracker.debian.org/tracker/CVE-2024-43788

https://ubuntu.com/security/CVE-2024-43788

插件详情

严重性: Medium

ID: 228834

文件名: unpatched_CVE_2024_43788.nasl

版本: 1.4

类型: local

代理: unix

系列: Misc.

发布时间: 2025/3/5

最近更新时间: 2025/9/15

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: Low

分数: 3.8

CVSS v2

风险因素: Low

基本分数: 3.5

时间分数: 2.7

矢量: CVSS2#AV:N/AC:M/Au:S/C:N/I:P/A:N

CVSS 分数来源: CVE-2024-43788

CVSS v3

风险因素: Medium

基本分数: 6.1

时间分数: 5.5

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

漏洞信息

CPE: cpe:/o:debian:debian_linux:11.0, cpe:/o:canonical:ubuntu_linux:20.04:-:lts, cpe:/o:canonical:ubuntu_linux:24.04:-:lts, cpe:/o:redhat:enterprise_linux:6, cpe:/o:debian:debian_linux:12.0, p-cpe:/a:debian:debian_linux:node-webpack, cpe:/o:redhat:enterprise_linux:9, cpe:/o:canonical:ubuntu_linux:18.04:-:lts, p-cpe:/a:centos:centos:js-d3-flame-graph, p-cpe:/a:redhat:enterprise_linux:thunderbird, cpe:/o:centos:centos:8, cpe:/o:redhat:enterprise_linux:8, p-cpe:/a:centos:centos:firefox, p-cpe:/a:canonical:ubuntu_linux:node-webpack, cpe:/o:canonical:ubuntu_linux:25.04, cpe:/o:centos:centos:7, cpe:/o:redhat:enterprise_linux:7, p-cpe:/a:redhat:enterprise_linux:js-d3-flame-graph, p-cpe:/a:centos:centos:thunderbird, cpe:/o:canonical:ubuntu_linux:22.04:-:lts, p-cpe:/a:redhat:enterprise_linux:firefox

必需的 KB 项: Host/local_checks_enabled, Host/cpu, global_settings/vendor_unpatched, Host/OS/identifier

可利用: true

易利用性: Exploits are available

漏洞发布日期: 2024/8/27

参考资料信息

CVE: CVE-2024-43788