Nutanix AOS 多种漏洞 (NXSA-AOS-7.0.1.8)
high Nessus 插件 ID 253514
语言:
简介
Nutanix AOS 主机受到多个漏洞影响。描述
远程主机上安装的 AOS 版本低于 7.0.1.8。因此如公告 NXSA-AOS-7.0.1.8 所述受到多个漏洞的影响。- zlib 1.2.8 中的 inftrees.c 可能允许依赖于上下文的攻击者通过利用不正确的指针算法造成不明影响。(CVE-2016-9840)
- setuptools 程序包允许用户下载、构建、安装、升级和卸载 Python 程序包。在 setuptools 78.1.1 及之前版本中出现“PackageIndex”中的路径遍历漏洞。攻击者可利用运行 Python 代码的进程的权限,将文件写入任意位置,这可导致远程代码执行,具体视环境而定。版本 78.1.1 已修复该问题。(CVE-2025-47273)
- 在 libxml2 中发现释放后使用漏洞。在某些情况下,如果 XML schematron 具有 <sch:name path=.../> 方案元素,则解析 XPath 元素时会发生此问题。此缺陷允许恶意执行者构建恶意 XML 文档用作 libxml 的输入,导致使用 libxml 的程序崩溃,或可能出现其他不明行为。(CVE-2025-49794)
- 在 libxml2 中发现一个漏洞。处理输入 XML 文件中的某些 sch:name 元素可触发内存损坏问题。此缺陷允许攻击者构建可造成 libxml 崩溃的恶意 XML 输入文件,由于内存中的敏感数据损坏,进而可导致拒绝服务或可能出现其他不明行为。(CVE-2025-49796)
- 在 libxml2 的 xmlBuildQName 函数中发现一个缺陷,其中缓冲区大小计算中的整数溢出问题可导致基于堆栈的缓冲区溢出。在处理构建的输入时,此问题可导致内存损坏或拒绝服务。(CVE-2025-6021)
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
将 Nutanix AOS 软件更新为建议的版本。升级之前:如果此群集已在 Prism Central 注册,请确保 Prism Central 已升级到兼容版本。请参阅 Nutanix 门户上的软件产品互操作性页面。另见
插件详情
严重性: High
ID: 253514
文件名: nutanix_NXSA-AOS-7_0_1_8.nasl
版本: 1.1
类型: local
系列: Misc.
发布时间: 2025/8/21
最近更新时间: 2025/8/21
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 6.7
CVSS v2
风险因素: Medium
基本分数: 6.8
时间分数: 5.3
矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
CVSS 分数来源: CVE-2016-9840
CVSS v3
风险因素: High
基本分数: 8.8
时间分数: 7.9
矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
CVSS 分数来源: CVE-2025-47273
CVSS v4
风险因素: High
Base Score: 8.7
Threat Score: 7.7
Threat Vector: CVSS:4.0/E:P
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N
CVSS 分数来源: CVE-2025-47273
漏洞信息
CPE: cpe:/o:nutanix:aos
必需的 KB 项: Host/Nutanix/Data/lts, Host/Nutanix/Data/Service, Host/Nutanix/Data/Version, Host/Nutanix/Data/arch
可利用: true
易利用性: Exploits are available
补丁发布日期: 2025/8/21
漏洞发布日期: 2016/12/4
参考资料信息
CVE: CVE-2016-9840, CVE-2023-40403, CVE-2024-12243, CVE-2025-3576, CVE-2025-47273, CVE-2025-4802, CVE-2025-49794, CVE-2025-49796, CVE-2025-6020, CVE-2025-6021