Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - flatted 是循环 JSON 解析器。在低于 3.4.2 的版本中，flatted 中的 parse() 函数可能会将所解析 JSON 中受攻击者控制的字符串值用作直接数组索引键，且不会验证这些值是否为数值。由于内部输入缓冲区是 JavaScript 数组，因此使用键 __proto__ 访问时，
    它会通过继承的 getter 返回 Array.prototype。然后，此对象会被视为合法的解析值，并被分配为输出对象的属性，从而有效地向使用者泄漏对 Array.prototype 的实时引用。之后写入该属性的任何代码都将污染全局原型。已在版本 3.4.2 中修补此问题。(CVE-2026-33228)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

检测

Linux Distros 未修补的漏洞：CVE-2026-33228

critical Nessus 插件 ID 303264

版本 1.2