Linux Distros 未修补的漏洞:CVE-2025-53901

low Nessus 插件 ID 246230

简介

Linux/Unix 主机上安装的一个或多个程序包存在漏洞,但供应商表示不会修补此漏洞。

描述

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响,而供应商没有提供补丁程序。

- Wasmtime 是 WebAssembly 的运行时。在低于版本 的版本 24.0.4、 33.0.2和 34.0.2中,Wasmtime 的 WASIp1 导入函数集实现中的一个缺陷可导致 WebAssembly 客户机在主机中造成错误(嵌入程序)。在使用两个相等的参数值或者另一个参数等于先前已关闭的文件描述符编号值调用“fd_renumber”之后调用“path_open”,会触发特定缺陷。“fd_renumber”中引入的损坏状态将导致随后发生文件描述符打开错误。但是,此错误不会造成内存不安全,也不会允许 WebAssembly 在其沙盒之外中断。此错误不可能导致堆损坏或内存不安全。此缺陷存在于 Wasmtime 的“wasmtime-wasi”crate 的实现中,用于提供 WASIp1 的实现。除了能够打开后续文件描述符之外,此缺陷还需要对“fd_renumber”进行特别构建的调用。只有当向客户机提供了预打开的目录时,才可打开第二个文件描述符,这在嵌入中很常见。主机中的错误被视为 WebAssembly 嵌入器的拒绝服务矢量,因此在 Wasmtime 中是安全问题。此缺陷不会影响 WASIp2 和使用组件的嵌入程序。根据 Wasmtime 的发布流程,修补程序版本为 24.0.4、 和 33.0.234.0.2。建议其他 Wasmtime 版本的用户迁移到受支持的 Wasmtime 版本。使用组件或未提供来宾访问权限来建立更多文件描述符(如通过预打开的文件系统目录)的嵌入器不会受到此问题影响。
否则,目前无任何解决方法,建议受影响的嵌入更新到修补后版本,不会在主机中引起错误。(CVE-2025-53901)

请注意,Nessus 依赖供应商报告的程序包是否存在进行判断。

解决方案

目前尚未有任何已知的解决方案。

另见

https://security-tracker.debian.org/tracker/CVE-2025-53901

https://ubuntu.com/security/CVE-2025-53901

插件详情

严重性: Low

ID: 246230

文件名: unpatched_CVE_2025_53901.nasl

版本: 1.9

类型: Local

代理: unix

系列: Misc.

发布时间: 2025/8/8

最近更新时间: 2026/6/16

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Tenable Cloud Security, Tenable Self-Hosted Container Security, Nessus

风险信息

VPR

风险因素: Low

分数: 1.2

百分位: 0.01

CVSS v2

风险因素: Medium

基本分数: 4.7

时间分数: 4

矢量: CVSS2#AV:L/AC:M/Au:N/C:N/I:N/A:C

CVSS 分数来源: CVE-2025-53901

CVSS v3

风险因素: Low

基本分数: 3.5

时间分数: 3.2

矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:N/A:L

时间矢量: CVSS:3.0/E:U/RL:U/RC:C

漏洞信息

CPE: cpe:/o:canonical:ubuntu_linux:25.04, cpe:/o:canonical:ubuntu_linux:25.10, cpe:/o:canonical:ubuntu_linux:24.04:-:lts, cpe:/o:debian:debian_linux:13.0, p-cpe:/a:debian:debian_linux:rust-wasmtime, p-cpe:/a:canonical:ubuntu_linux:rust-wasmtime, cpe:/o:canonical:ubuntu_linux:26.04:-:lts

必需的 KB 项: Host/local_checks_enabled, Host/cpu, global_settings/vendor_unpatched, Host/OS/identifier

易利用性: No known exploits are available

漏洞发布日期: 2025/7/18

参考资料信息

CVE: CVE-2025-53901