Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - Preact轻量级 Web 开发框架的 JSON 序列化保护可防止从任意 JSON 构造虚拟 DOM 元素。Preact 10.26.5 中引入的一个回归导致此保护被软化。如果应用程序中来自 JSON 负载的值被假设为字符串并在未经修改的情况下作为子项传递到 Preact则可构建特制的 JSON 负载其会被错误地视为有效 VNode。发生这一系列故障时可导致 HTML 注入如果不通过 CSP 或其他方式缓解则可允许任意脚本执行。使用受影响 Preact 版本的应用程序在满足以下所有条件时容易遭受攻击第二个假设这些值为字符串但数据源可返回实际的 JavaScript 对象而不是 JSON 字符串第三，数据源要么无法执行类型审查，要么盲目存储/返回与字符串交互的原始对象，要么受到破坏（例如中毒的本地存储、文件系统或数据库）。版本 10.26.10、 10.27.3和 10.28.2 修补了此问题。
    修补程序版本恢复了之前阻止 JSON 解析的对象被视为有效 VNode 的严格相等检查。无法立即升级的用户可使用其他缓解措施。
    验证输入类型、转换或验证网络数据、审查外部数据并使用内容安全策略 (CSP)。 (CVE-2026-22028)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

检测

Linux Distros 未修补的漏洞：CVE-2026-22028

critical Nessus 插件 ID 282480

版本 1.3