远程主机上安装的 python3 版本低于 3.7.16-1。因此，该软件受到 ALAS2-2025-2815 公告中提及的多个漏洞影响。

    Python 中 tarfile 模块的 (1) extract 和 (2) extractall 函数中存在目录遍历漏洞，用户协助的远程攻击者可利用此漏洞，通过 TAR 存档中文件名中的 ..（点点）序列覆写任意文件，而此问题与 CVE-2001-1267 相关。(CVE-2007-4559)

    Python 标准库函数“urllib.parse.urlsplit”和“urlparse”接受包含方括号的域名，而根据 RFC 3986 标准，此类域名是无效的。方括号仅应用作分隔符，用于在 URL 中指定 IPv6 及 IPvFuture 类型的主机地址。这可能会导致 Python URL 解析器和其他符合规范的 URL 解析器之间出现差异解析。(CVE-2025-0938)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

检测

Amazon Linux 2：python3 (ALAS-2025-2815)

medium Nessus 插件 ID 233711

版本 1.3

版本 1.2

版本 1.1

版本 1.3 Oct 30, 2025, 2:57 PM Exploit attributes ("Exploitability ease" changed from "No known exploits are available" to "Exploits are available") Plugin Feed: 202510301457
版本 1.2 Apr 5, 2025, 5:46 AM CVE (set "CVE" coverage to "CVE-2007-4559,CVE-2025-0938") CVSS metrics ("CVSSv3 score" set to 9.8) CVSS metrics ("CVSSv3 vector" set to "CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H") CVSSv3 score source (changed from "CVE-2024-9287" to none) Plugin metadata Plugin Feed: 202504050546
版本 1.1 Apr 2, 2025, 9:22 AM New Plugin Feed: 202504020922