Linux Distros 未修补的漏洞:CVE-2025-53901
low Nessus 插件 ID 246230
语言:
简介
Linux/Unix 主机上安装的一个或多个程序包存在漏洞,但供应商表示不会修补此漏洞。描述
Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响,而供应商没有提供补丁程序。- wasmtime 是 WebAssembly 的运行时。在低于版本 24.0.4、 33.0.2和 34.0.2的版本中Wasmtime 的导入函数集 WASIp1 的实现中存在一个缺陷可导致 WebAssembly 客户机在主机 (embedder) 中引发错误。在使用两个相等的参数值或第二个参数等于之前关闭的文件描述符编号值调用 `fd_renumber` 之后调用 `path_open` 会触发该特定缺陷。“fd_renumber”中引入的损坏状态将导致随后打开文件描述符时发生错误。但是此错误不会引入内存不安全因素或允许 WebAssembly 中断其沙盒之外。此错误不会导致可能的堆损坏或内存不安全。此缺陷存在于 Hasmtime 的“wasmtime-wasi”板条箱的实现中该板条箱提供 WASIp1 的实现。除了能够打开后续文件描述符此缺陷还需要对“fd_renumber”进行特别构建的调用。仅当向客户机提供预打开的目录时才可以打开第二个文件描述符这在嵌入中很常见。主机中的错误被视为 WebAssembly 嵌入程序的拒绝服务矢量因此是 wasmtime 中的一个安全问题。此缺陷不影响 WASIp2 和使用 embedders 的组件。根据 wasmtime 的发布流程提供 24.0.4、 33.0.2和 34.0.2修补程序版本。建议其他 wasmtime 版本的用户升级到wasmtime 受支持的版本。使用组件或不提供用于创建更多文件描述符的访客访问权限例如通过预先打开的文件系统目录的嵌入者不受此问题的影响。
否则目前没有变通方案建议将受影响的嵌入更新到不会在主机中造成错误的已修补版本。 (CVE-2025-53901)
请注意,Nessus 依赖供应商报告的程序包是否存在进行判断。
解决方案
目前尚未有任何已知的解决方案。另见
插件详情
严重性: Low
ID: 246230
文件名: unpatched_CVE_2025_53901.nasl
版本: 1.1
类型: local
代理: unix
系列: Misc.
发布时间: 2025/8/8
最近更新时间: 2025/8/8
支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
风险信息
VPR
风险因素: Low
分数: 2.2
CVSS v2
风险因素: Medium
基本分数: 4.7
时间分数: 3.5
矢量: CVSS2#AV:L/AC:M/Au:N/C:N/I:N/A:C
CVSS 分数来源: CVE-2025-53901
CVSS v3
风险因素: Low
基本分数: 3.5
时间分数: 3.1
矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:N/A:L
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/o:canonical:ubuntu_linux:25.04, cpe:/o:canonical:ubuntu_linux:24.04:-:lts, p-cpe:/a:debian:debian_linux:rust-wasmtime, p-cpe:/a:canonical:ubuntu_linux:rust-wasmtime, cpe:/o:debian:debian_linux:13.0
必需的 KB 项: Host/cpu, Host/local_checks_enabled, global_settings/vendor_unpatched, Host/OS/identifier
易利用性: No known exploits are available
漏洞发布日期: 2025/7/18
参考资料信息
CVE: CVE-2025-53901