Nutanix AHV 多个漏洞 (NXSA-AHV-10.3.0.2)
high Nessus 插件 ID 261687
语言:
简介
Nutanix AHV 主机受到多个漏洞影响。描述
远程主机上安装的 AHV 版本低于 AHV-10.3.0.2。因此如公告 NXSA-AHV-10.3.0.2 所述受到多个漏洞的影响。- 在 3.50.2 之前的 SQLite 版本中存在一个漏洞其中聚合术语的数量可能超过可用列的数量。这可导致从内存损坏问题。我们建议升级到 3.50.2 或更高版本。(CVE-2025-6965)
- 1.9.2 之前的 LZ4 的 LZ4_write32 中存在基于堆的缓冲区溢出(与 LZ4_compress_destSize 有关),可影响使用大型输入调用 LZ4_compress_fast 的应用程序。此问题也会导致数据损坏。注意据供应商声明仅有 API 的少数特定/不常见用法存在风险。
(CVE-2019-17543)
- 在 libxml2 中发现释放后使用漏洞。在某些情况下,如果 XML schematron 具有 <sch:name path=.../> 方案元素,则解析 XPath 元素时会发生此问题。此缺陷允许恶意执行者构建恶意 XML 文档用作 libxml 的输入,导致使用 libxml 的程序崩溃,或可能出现其他不明行为。(CVE-2025-49794)
- 在 libxml2 中发现一个漏洞。处理输入 XML 文件中的某些 sch:name 元素可触发内存损坏问题。此缺陷允许攻击者构建可造成 libxml 崩溃的恶意 XML 输入文件,由于内存中的敏感数据损坏,进而可导致拒绝服务或可能出现其他不明行为。(CVE-2025-49796)
- 在 libxml2 的 xmlBuildQName 函数中发现一个缺陷,其中缓冲区大小计算中的整数溢出问题可导致基于堆栈的缓冲区溢出。在处理构建的输入时,此问题可导致内存损坏或拒绝服务。(CVE-2025-6021)
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
将 Nutanix AHV 软件更新为建议的版本。升级之前:如果此群集已在 Prism Central 注册,请确保 Prism Central 已升级到兼容版本。请参阅 Nutanix 门户上的软件产品互操作性页面。另见
插件详情
严重性: High
ID: 261687
文件名: nutanix_NXSA-AHV-10_3_0_2.nasl
版本: 1.1
类型: local
系列: Misc.
发布时间: 2025/9/8
最近更新时间: 2025/9/8
支持的传感器: Nessus
风险信息
VPR
风险因素: Critical
分数: 9.2
CVSS v2
风险因素: Medium
基本分数: 6.8
时间分数: 5.3
矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
CVSS 分数来源: CVE-2019-17543
CVSS v3
风险因素: Critical
基本分数: 9.8
时间分数: 8.8
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
CVSS 分数来源: CVE-2025-6965
CVSS v4
风险因素: High
Base Score: 8.7
Threat Score: 7.7
Threat Vector: CVSS:4.0/E:P
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N
CVSS 分数来源: CVE-2025-5994
漏洞信息
CPE: cpe:/o:nutanix:ahv
必需的 KB 项: Host/Nutanix/Data/Node/Version, Host/Nutanix/Data/Node/Type
可利用: true
易利用性: Exploits are available
补丁发布日期: 2025/9/7
漏洞发布日期: 2019/10/14
参考资料信息
CVE: CVE-2019-17543, CVE-2024-34397, CVE-2024-52533, CVE-2024-54661, CVE-2025-40909, CVE-2025-4373, CVE-2025-47273, CVE-2025-49794, CVE-2025-49796, CVE-2025-5994, CVE-2025-6021, CVE-2025-6965