Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - netfilternf_tables尽可能避免链重新验证 Hamza Mahfooz 报告 nft_chain_validate(): watchdog缺陷中存在 cpu 软锁定 - CPU#1 卡住达 27s! [iptables-nft-re:37547] [..] RIP
    0010:nft_chain_validate+0xcb/0x110 [nf_tables] [..] nft_immediate_validate+0x36/0x50 [nf_tables] nft_chain_validate+0xc9/0x110 [nf_tables] nft_immediate_validate+0x36/0x50 [nf_tables] nft_chain_validate+validate+immediate/0x110] 0x50 [nf_tables] nft_chain_validate+0xc9/0x110 [nf_tables] nft_immediate_validate+0x36/0x50 [nf_tables] nft_chain_validate+0xc9/0x110 [nf_tables] nft_immediate_validate+0x36/0x50 [nf_tables] nft_chain_validate+0xc9/0x110 [nf_tables] nft_immediate_validate+0x36/0x50 [ nf_tables] nft_chain_validate+0xc9/0x110 [nf_tables] nft_table_validate+0x6b/0xb0 [nf_tables] nf_tables_validate+0x8b/0xa0 [nf_tables] nf_tables_commit+0x1df/0x1eb0 [nf_tables] [..] 目前 nf_tables 将遍历整个表链式图表从入口点（基本链）开始，探索所有可能的路径（链跳转）。但在某些情况下我们可以避免重新验证。
    考虑1 input -> j2 -> j3 2 input -> j2 -> j3 3 input -> j1 -> j2 -> j3则第二个规则不需要重新验证 j2、 和 通过扩展 j3因为这已经是验证第一条规则期间进行了检查。我们只需针对规则 3 对其进行验证。之所以需要此操作，是因为链循环检测还可以确保我们不超过跳转的堆栈： 正因为知道 j2 未进入周期，其最后的跳转现在可能会超过允许的堆栈大小。我们还需要使用观察到的新的最大调用深度更新所有可访问的链。即使链深度不是问题也必须小心重新验证链验证还确保不会从无效的基本链调用表达式。例如，伪装表达式只能从 NAT 后路由基础链调用。因此，我们还需要保留基本链上下文（类型、hooknum）的记录，并在该链变得可从其他挂钩位置访问时重新验证。 (CVE-2025-71160)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

检测

Linux Distros 未修补的漏洞：CVE-2025-71160

medium Nessus 插件 ID 296412

版本 1.9