Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - Underscore.js 是一个 JavaScript 实用工具带库。在低于 1.13.8的版本中_.flatten 和 _.isEqual 函数使用递归时没有深度限制。在非常特定的条件下攻击者可通过触发堆栈溢出在拒绝服务 (DoS) 攻击中利用此漏洞必须使用不受信任的输入创建递归数据结构例如使用 JSON.parse并且无强制深度限制。因此创建的数据结构必须传递到 _.flatten 或 _.isEqual。就 _.flatten而言如果远程客户端可能准备由所有级别的数组组成的数据结构并且没有将有限深度限制作为第二个参数传递到 _
    _.flatten。在 _.isEqual 的情况下仅当存在代码路径在该路径中同一个远程客户端提交的两个不同数据结构使用 进行比较时此漏洞才会遭到利用
    _.isEqual。例如，如果客户端提交的数据存储在数据库中，并且该客户端可以在稍后提交另一个数据结构，然后将其与之前保存在数据库中的数据进行比较，或者如果客户端提交单个请求，但其数据被解析两次创建两个不同但相等的数据结构然后进行比较源自调用的异常
    不会捕获堆栈溢出导致的 _.flatten 或 _.isEqual。此漏洞已在 1.13.8 中修复。(CVE-2026-27601)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

检测

Linux Distros 未修补的漏洞：CVE-2026-27601

high Nessus 插件 ID 300943

版本 1.3