macOS 14.x < 14.8.2 多个漏洞 (125636)
high Nessus 插件 ID 272227
语言:
简介
远程主机缺少用于修复多个漏洞的 macOS 更新描述
远程主机上运行的 macOS/Mac OS X 版本为低于 14.8.2 的 14.x。因此,该应用程序受到多个漏洞的影响:- 此问题已通过改进输入验证来解决。此问题已在 tvOS 26、watchOS 26、visionOS 26、macOS Tahoe 26、iOS 26 和 iPadOS 26 中修复。处理恶意构建的媒体文件可能会导致应用程序意外终止或进程内存损坏。 (CVE-2025-43372)
- REXML 是适用于 Ruby 的 XML 工具包。3.3.6 之前版本的 REXML gem 在解析具有多个深层元素(具有相同的本地名称属性)的 XML 时,出现拒绝服务 (DoS) 漏洞。如果需要使用树形解析器 API(如 REXML::Document.new)解析不受信任的 XML,可能会受到此漏洞的影响。如果使用流解析器 API 和 SAX2 解析器 API 等其他解析器 API,此漏洞不受影响。REXML gem 3.3.6 或更高版本包含用于修复此漏洞的补丁。(CVE-2024-43398)
- REXML 是适用于 Ruby 的 XML 工具包。3.3.9 之前的 REXML gem 在十六进制数值字符引用 (&#x...;) 中解析 &# 和 x... 之间有许多数字的 XML 时,出现 ReDoS 漏洞。使用 Ruby 3.2 或更高版本时不会发生这种情况。目前维护的 Ruby 版本中仅 Ruby 3.1 会受影响。REXML gem 3.3.9 或更高版本包含用于修复此漏洞的补丁。(CVE-2024-49761)
- 已通过改进验证解决权限问题。此问题已在 macOS Ventura 13.7.5、iPadOS 17.7.6、macOS Sequoia 15.4、macOS Konoma 14.7.5中修复。快捷方式可能可以访问“快捷方式”应用程序通常无法访问的文件。 (CVE-2025-30465)
- 已通过改进数据编辑解决一个日志记录问题。此问题已在 iOS 18.4 和 iPadOS 18.4、visionOS 2.4、macOS Sequoia 15.4中修复。应用程序或可访问敏感用户数据。(CVE-2025-31199)
请注意,Nessus 并未测试这些问题,而是只依据操作系统自我报告的版本号进行判断。
解决方案
升级至 macOS 14.8.2 或更高版本。另见
插件详情
严重性: High
ID: 272227
文件名: macos_125636.nasl
版本: 1.1
类型: local
代理: macosx
发布时间: 2025/11/3
最近更新时间: 2025/11/3
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.7
CVSS v2
风险因素: High
基本分数: 7.2
时间分数: 5.3
矢量: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C
CVSS 分数来源: CVE-2025-43372
CVSS v3
风险因素: High
基本分数: 7.8
时间分数: 6.8
矢量: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
CVSS v4
风险因素: High
Base Score: 8.7
Threat Score: 6.6
Threat Vector: CVSS:4.0/E:U
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N
CVSS 分数来源: CVE-2024-49761
漏洞信息
CPE: cpe:/o:apple:macos:14.0, cpe:/o:apple:mac_os_x:14.0
易利用性: No known exploits are available
补丁发布日期: 2025/11/3
漏洞发布日期: 2024/8/22
参考资料信息
CVE: CVE-2024-43398, CVE-2024-49761, CVE-2025-30465, CVE-2025-31199, CVE-2025-43322, CVE-2025-43334, CVE-2025-43335, CVE-2025-43336, CVE-2025-43338, CVE-2025-43348, CVE-2025-43361, CVE-2025-43372, CVE-2025-43373, CVE-2025-43379, CVE-2025-43380, CVE-2025-43382, CVE-2025-43389, CVE-2025-43391, CVE-2025-43394, CVE-2025-43395, CVE-2025-43396, CVE-2025-43397, CVE-2025-43398, CVE-2025-43401, CVE-2025-43405, CVE-2025-43407, CVE-2025-43408, CVE-2025-43411, CVE-2025-43412, CVE-2025-43413, CVE-2025-43414, CVE-2025-43420, CVE-2025-43445, CVE-2025-43446, CVE-2025-43448, CVE-2025-43468, CVE-2025-43469, CVE-2025-43472, CVE-2025-43474, CVE-2025-43476, CVE-2025-43477, CVE-2025-43478, CVE-2025-43479, CVE-2025-43498, CVE-2025-43499, CVE-2025-6442
APPLE-SA: 125636