Nutanix AOS:多个漏洞 (NXSA-AOS-6.10.1.10)
high Nessus 插件 ID 271420
语言:
简介
Nutanix AOS 主机受到多个漏洞影响。描述
远程主机上安装的 AOS 版本低于 6.10.1.10。因此,该主机受到 NXSA-AOS-6.10.1.10 公告中提及的多个漏洞影响。- 在 SQLite 3.50.2 之前的版本中存在一个漏洞,即聚合项的数量可能超过可用的列数。这可导致从内存损坏问题。我们建议升级到 3.50.2 或更高版本。(CVE-2025-6965)
- Requests 是一个 HTTP 库。由于存在 URL 解析问题, 2.32.4 之前的 Requests 版本可能会向特定恶意构建的 URL 中的第三方泄露 .netrc 凭据。用户应将版本升级到 2.32.4 以接收修复程序。对于较旧版本的 Requests,可在其请求会话中通过“trust_env=False”禁用 .netrc 文件的使用。 (CVE-2024-47081)
- 如果之前的某些分配失败,GNU C 库 版本 2.4 到 2.41 中的 regcomp 函数容易遭受双重释放。这可通过 malloc 失败或使用注入随机 malloc 失败的插入 malloc 来实现。双重释放可允许根据 regex 的构建方式进行缓冲区操纵。此问题影响 GNU C 库支持的所有架构和 ABI。
(CVE-2025-8058)
- Perl 线程具有工作目录争用条件,其中文件操作可能以非预期路径为目标。如果目录句柄在创建线程时仍然开启,则临时更改整个流程的当前工作目录,以将该句柄克隆到新线程,其他已在运行的任何线程也能看到这项更改。这可能会导致意外操作,例如从非预期位置加载代码或访问文件,本地攻击者可能会利用此漏洞。此缺陷是在 commit 11a11ecf4bea72b17d250cfb43c897be1341861e 中引入,并在 Perl 版本 5.13.6 中发行 (CVE-2025-40909)
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
将 Nutanix AOS 软件更新为建议的版本。升级之前:如果此群集已在 Prism Central 注册,请确保 Prism Central 已升级到兼容版本。请参阅 Nutanix 门户上的软件产品互操作性页面。另见
插件详情
严重性: High
ID: 271420
文件名: nutanix_NXSA-AOS-6_10_1_10.nasl
版本: 1.1
类型: local
系列: Misc.
发布时间: 2025/10/24
最近更新时间: 2025/10/24
支持的传感器: Nessus
风险信息
VPR
风险因素: Critical
分数: 9.2
CVSS v2
风险因素: Critical
基本分数: 10
时间分数: 7.4
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 分数来源: CVE-2025-6965
CVSS v3
风险因素: Critical
基本分数: 9.8
时间分数: 8.5
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
CVSS v4
风险因素: High
Base Score: 7.2
Threat Score: 4.3
Threat Vector: CVSS:4.0/E:U
Vector: CVSS:4.0/AV:N/AC:H/AT:P/PR:L/UI:N/VC:L/VI:H/VA:L/SC:L/SI:H/SA:L
漏洞信息
CPE: cpe:/o:nutanix:aos
必需的 KB 项: Host/Nutanix/Data/lts, Host/Nutanix/Data/Service, Host/Nutanix/Data/Version, Host/Nutanix/Data/arch
易利用性: No known exploits are available
补丁发布日期: 2025/10/24
漏洞发布日期: 2025/3/11
参考资料信息
CVE: CVE-2024-47081, CVE-2025-40909, CVE-2025-6965, CVE-2025-8058