检测

Linux Distros 未修补的漏洞:CVE-2025-49005

low Nessus 插件 ID 260206

语言:

简介

Linux/Unix 主机上安装的一个或多个程序包存在漏洞,但供应商表示不会修补此漏洞。

描述

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响,而供应商没有提供补丁程序。

 - Next.js 是用于构建全堆栈 Web 应用程序的React 框架。 15.3.0 版之前的 15.3.3 版的 Next.js App Router 以及 41.4.1 版到 42.2.0版的 Vercel CLI 中发现一个缓存中毒漏洞。该问题允许对 HTML 内容的页面请求在某些情况下返回React Server Component (RSC) 负载。部署到 Vercel 时这只会影响浏览器缓存不会导致 CDN 中毒。自托管并部署在外部时如果 CDN 未正确区分缓存密钥中的 RSC/HTML可导致缓存中毒。此问题在 Next.js 中已解决 15.3.3。 (CVE-2025-49005)

请注意,Nessus 依赖供应商报告的程序包是否存在进行判断。

解决方案

目前尚未有任何已知的解决方案。

另见

https://access.redhat.com/security/cve/cve-2025-49005

插件详情

严重性: Low

ID: 260206

文件名: unpatched_CVE_2025_49005.nasl

版本: 1.1

类型: local

代理: unix

系列: Misc.

发布时间: 2025/9/1

最近更新时间: 2025/9/1

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: Low

分数: 1.4

CVSS v2

风险因素: Medium

基本分数: 5

时间分数: 3.7

矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N

CVSS 分数来源: CVE-2025-49005

CVSS v3

风险因素: Low

基本分数: 3.7

时间分数: 3.2

矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:centos:centos:dotnet-sdk-7.0, p-cpe:/a:centos:centos:dotnet-host, p-cpe:/a:redhat:enterprise_linux:dotnet-apphost-pack-7.0, p-cpe:/a:redhat:enterprise_linux:aspnetcore-runtime-7.0, p-cpe:/a:centos:centos:dotnet-hostfxr-7.0, p-cpe:/a:centos:centos:firefox-x11, p-cpe:/a:redhat:enterprise_linux:dotnet-hostfxr-7.0, p-cpe:/a:centos:centos:netstandard-targeting-pack-2.1, p-cpe:/a:redhat:enterprise_linux:dotnet-host, p-cpe:/a:redhat:enterprise_linux:dotnet-sdk-7.0-source-built-artifacts, cpe:/o:redhat:enterprise_linux:9, p-cpe:/a:centos:centos:dotnet-sdk-7.0-source-built-artifacts, p-cpe:/a:redhat:enterprise_linux:thunderbird, cpe:/o:centos:centos:8, p-cpe:/a:centos:centos:aspnetcore-targeting-pack-7.0, p-cpe:/a:redhat:enterprise_linux:netstandard-targeting-pack-2.1, p-cpe:/a:redhat:enterprise_linux:dotnet-runtime-7.0, p-cpe:/a:redhat:enterprise_linux:dotnet7.0, cpe:/o:redhat:enterprise_linux:10, cpe:/o:redhat:enterprise_linux:8, p-cpe:/a:centos:centos:dotnet-templates-7.0, p-cpe:/a:redhat:enterprise_linux:dotnet-targeting-pack-7.0, p-cpe:/a:redhat:enterprise_linux:dotnet-templates-7.0, p-cpe:/a:centos:centos:dotnet-runtime-7.0, p-cpe:/a:redhat:enterprise_linux:dotnet-sdk-7.0, p-cpe:/a:centos:centos:firefox, p-cpe:/a:centos:centos:dotnet-targeting-pack-7.0, p-cpe:/a:centos:centos:dotnet-apphost-pack-7.0, p-cpe:/a:redhat:enterprise_linux:firefox-x11, p-cpe:/a:redhat:enterprise_linux:aspnetcore-targeting-pack-7.0, cpe:/o:centos:centos:7, cpe:/o:redhat:enterprise_linux:7, p-cpe:/a:centos:centos:thunderbird, p-cpe:/a:centos:centos:aspnetcore-runtime-7.0, p-cpe:/a:redhat:enterprise_linux:firefox, p-cpe:/a:centos:centos:dotnet7.0

必需的 KB 项: Host/local_checks_enabled, Host/cpu, global_settings/vendor_unpatched, Host/OS/identifier

易利用性: No known exploits are available

漏洞发布日期: 2025/7/3

参考资料信息

CVE: CVE-2025-49005