Linux Distros 未修补的漏洞:CVE-2025-53192
high Nessus 插件 ID 260136
语言:
简介
Linux/Unix 主机上安装的一个或多个程序包存在漏洞,但供应商表示不会修补此漏洞。描述
Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响,而供应商没有提供补丁程序。- ** 分配时不受支持 ** Apache Commons OGNL 中的表达式/命令分隔符的不当中和漏洞。此问题影响 Apache Commons OGNL 所有 版本。使用 API Ognl.getValue 时OGNL 引擎会通过强大的功能解析和评估提供的表达式包括访问和调用相关方法等。尽管 OgnlRuntime 尝试通过阻止列表来限制某些危险类和方法例如 java.lang.Runtime但这些限制并不全面。攻击者可能通过利用阻止列表中未涵盖的类对象来绕过限制并可能实现任意代码执行。由于此项目已退役因此我们不计划发布修复此问题的版本。建议用户寻找替代方案或限制仅受信任用户访问 实例。注意此漏洞仅影响维护者不再提供支持的产品。 (CVE-2025-53192)
请注意,Nessus 依赖供应商报告的程序包是否存在进行判断。
解决方案
目前尚未有任何已知的解决方案。另见
插件详情
严重性: High
ID: 260136
文件名: unpatched_CVE_2025_53192.nasl
版本: 1.1
类型: local
代理: unix
系列: Misc.
发布时间: 2025/9/1
最近更新时间: 2025/9/1
支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.7
CVSS v2
风险因素: High
基本分数: 7.5
时间分数: 5.5
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS 分数来源: CVE-2025-53192
CVSS v3
风险因素: High
基本分数: 8.8
时间分数: 7.7
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/o:debian:debian_linux:11.0, p-cpe:/a:debian:debian_linux:ognl, cpe:/o:debian:debian_linux:14.0, cpe:/o:debian:debian_linux:12.0, cpe:/o:debian:debian_linux:13.0
必需的 KB 项: Host/cpu, Host/local_checks_enabled, global_settings/vendor_unpatched, Host/OS/identifier
易利用性: No known exploits are available
漏洞发布日期: 2025/8/18
参考资料信息
CVE: CVE-2025-53192