Azure Linux 3.0 安全更新python-tensorboard (CVE-2024-43788)
medium Nessus 插件 ID 296057
语言:
简介
远程 Azure Linux 主机缺少一个或多个安全更新。描述
远程 Azure Linux 3.0 主机上安装的 python-tensorboard 版本低于 测试的版本。因此,它受到 CVE-2024-43788 公告中提及的一个漏洞影响。- Webpack 是一个模块捆绑程序。其主要用途是捆绑 JavaScript 文件以在浏览器中使用,但它也能够转换、捆绑或打包几乎任何资源或资产。webpack 开发人员在 Webpack 的 `AutoPublicPathRuntimeModule` 中发现一个 DOM 重写漏洞。模块中的 DOM Crebbering 小工具可在存在受攻击者控制的无脚本 HTML 元素例如包含未审查“name”属性的“img”标签的网页中导致跨站脚本 (XSS)。
已在 Canvas LMS 中发现该小工具的实际利用其允许通过由 Webpack 编译的 javascript 代码发生 XSS 攻击易受攻击部分来自 Webpack。DOM 破坏是一种代码重用攻击其中攻击者首先在网页中嵌入一段看似无害的非脚本 HTML 标记例如通过帖子或注释然后利用现有的 javascript 代码,以将其转换为可执行的代码。此漏洞可导致在包含 Webpack 生成文件的网站上出现跨站脚本 (XSS)并允许用户注入特定名称或 id 属性审查不正确的无脚本 HTML 标签。已在版本 5.94.0 中解决此问题。建议所有用户升级。目前尚无针对此问题的解决方案。(CVE-2024-43788)
请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
更新受影响的程序包。另见
插件详情
严重性: Medium
ID: 296057
文件名: azure_linux_CVE-2024-43788.nasl
版本: 1.1
类型: local
发布时间: 2026/1/22
最近更新时间: 2026/1/22
支持的传感器: Nessus
风险信息
VPR
风险因素: Low
分数: 3.8
CVSS v2
风险因素: Medium
基本分数: 6.4
时间分数: 5
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N
CVSS 分数来源: CVE-2024-43788
CVSS v3
风险因素: Medium
基本分数: 6.1
时间分数: 5.5
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
CVSS v4
风险因素: Medium
Base Score: 6.1
Threat Score: 5.6
Threat Vector: CVSS:4.0/E:P
Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:N/VC:L/VI:L/VA:H/SC:N/SI:N/SA:N
漏洞信息
CPE: p-cpe:/a:microsoft:azure_linux:python3-tensorboard-data-server, p-cpe:/a:microsoft:azure_linux:python3-tensorboard, x-cpe:/o:microsoft:azure_linux
必需的 KB 项: Host/local_checks_enabled, Host/AzureLinux/release, Host/AzureLinux/rpm-list, Host/cpu
可利用: true
易利用性: Exploits are available
补丁发布日期: 2024/10/8
漏洞发布日期: 2024/8/27
参考资料信息
CVE: CVE-2024-43788