Linux Distros 未修补的漏洞: CVE-2024-43788
medium Nessus 插件 ID 228834
语言:
简介
Linux/Unix 主机上安装的一个或多个程序包存在漏洞,但供应商表示不会修补此漏洞。描述
Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响,而供应商没有提供补丁程序。- Webpack 是一个模块捆绑程序。其主要用途是捆绑 JavaScript 文件以在浏览器中使用,但也能够转换、捆绑或打包几乎任何资源或资产。webpack 开发人员发现了 Webpack 的“AutoPublicPathRuntimeModule”中的 DOM Clobbering 漏洞。模块中的 DOM Clobbering 小工具可导致存在无脚本攻击者控制的 HTML 元素(例如,具有未审查的“name”属性的“img”标签)的网页中的跨站脚本 (XSS)。
已在 Canvas LMS 实际利用此小工具,其允许通过 Webpack 编译的 javascript 代码发起 XSS 攻击(易受攻击的部分来自 Webpack)。DOM 重用是一种代码重用攻击,其中攻击者首先在网页中嵌入一段非脚本的、看似无害的 HTML 标记(例如通过帖子或评论),并利用现有 javascript 代码,将其转换为可执行代码。此漏洞可导致包含 Webpack 生成的文件的网站上的跨站脚本 (XSS),并允许用户通过不当审查的名称或 id 属性注入某些无脚本的 HTML 标签。已在版本 5.94.0 中解决此问题。建议所有用户升级。目前尚无针对此问题的解决方案。(CVE-2024-43788)
请注意,Nessus 依赖供应商报告的程序包是否存在进行判断。
解决方案
目前尚未有任何已知的解决方案。插件详情
严重性: Medium
ID: 228834
文件名: unpatched_CVE_2024_43788.nasl
版本: 1.1
类型: local
代理: unix
系列: Misc.
发布时间: 2025/3/5
最近更新时间: 2025/3/5
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: Low
分数: 3.8
CVSS v2
风险因素: Medium
基本分数: 6.4
时间分数: 5
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N
CVSS 分数来源: CVE-2024-43788
CVSS v3
风险因素: Medium
基本分数: 6.1
时间分数: 5.5
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
漏洞信息
必需的 KB 项: Host/local_checks_enabled, Host/cpu, global_settings/vendor_unpatched
可利用: true
易利用性: Exploits are available
漏洞发布日期: 2024/8/27
参考资料信息
CVE: CVE-2024-43788