Linux Distros 未修补的漏洞:CVE-2025-59052
high Nessus 插件 ID 264809
语言:
简介
Linux/Unix 主机上安装的一个或多个程序包存在漏洞,但供应商表示不会修补此漏洞。描述
Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响,而供应商没有提供补丁程序。- Angular 是一个开发平台,用于使用 TypeScript/JavaScript 和其他语言构建移动和桌面 Web 应用程序。Angular 在服务器端渲染期间使用 DI 容器平台注入器来保存请求特定的状态。由于历史原因容器被存储为 JavaScript 模块范围的全局变量。当同时处理多个请求时这些请求可能会无意间共享或覆盖全局注入器状态。实际上这可能导致一个请求使用针对完全不同请求的数据进行响应从而泄漏所呈现页面或响应标头中包含的数据或标记。只要攻击者拥有网络访问权限以发送任何收到已呈现响应的流量就可能发送大量请求然后检查响应是否存在信息泄漏。API“bootstrapApplication”、“getPlatform”和“destroyPlatform”容易受到攻击且仅需要 SSR 重大更改。所有有效版本以及 v21 预发行版本中已修补此问题。修补后的程序包包括 `@angle/platform-server` 21.0.0-next.3、 20.3.0、 19.2.15和 18.2.14 以及 `@angle/ssr` 21.0.0-next.3、 20.3.0、 19.2.16和 18.2.21。有多个变通方案可用。通过服务器路由或构建器选项禁用 SSR、删除自定义“bootstrap”函数中的任何异步行为、删除应用程序代码中对“getPlatform()”的使用和/或确保服务器版本将“ngJitMode”定义为 false。 (CVE-2025-59052)
请注意,Nessus 依赖供应商报告的程序包是否存在进行判断。
解决方案
目前尚未有任何已知的解决方案。另见
插件详情
严重性: High
ID: 264809
文件名: unpatched_CVE_2025_59052.nasl
版本: 1.1
类型: local
代理: unix
系列: Misc.
发布时间: 2025/9/15
最近更新时间: 2025/9/15
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 4.4
CVSS v2
风险因素: Medium
基本分数: 5
时间分数: 3.7
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
CVSS 分数来源: CVE-2025-59052
CVSS v3
风险因素: High
基本分数: 7.5
时间分数: 6.5
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
CVSS v4
风险因素: High
Base Score: 7.1
Threat Score: 5
Threat Vector: CVSS:4.0/E:U
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:H/VI:L/VA:N/SC:N/SI:N/SA:N
漏洞信息
CPE: cpe:/o:centos:centos:8, cpe:/o:redhat:enterprise_linux:8, p-cpe:/a:centos:centos:dotnet5.0-build-reference-packages, p-cpe:/a:redhat:enterprise_linux:dotnet5.0-build-reference-packages
必需的 KB 项: Host/local_checks_enabled, Host/cpu, global_settings/vendor_unpatched, Host/OS/identifier
易利用性: No known exploits are available
漏洞发布日期: 2025/9/10
参考资料信息
CVE: CVE-2025-59052