Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - jq 是命令行 JSON 处理器。6374ae0bcdfe33a18eb0ae6db28493b1f34a0a5b 之前的提交包含一个漏洞CLI 输入解析允许通过嵌入的 NUL 字节绕过验证。从 文件或 stdin 读取 JSON 时jq 使用 strlen() 而非来自 fgets() 的实际字节计数确定缓冲区长度因此在第一个空字节处截断输入并仅解析前面的前缀。这使得攻击者能够利用 NUL 字节之前的正常 JSON 前缀构建输入，然后是恶意的尾部数据，其中 jq 仅将前缀验证为有效的 JSON，而静默地丢弃后缀。
    在将不受信任的 JSON 转发给下游使用者之前依赖 jq 来验证的工作流容易受到解析器差异攻击的影响因为这些使用者可能处理包括恶意尾部字节的完整输入。此问题已由提交 6374ae0bcdfe33a18eb0ae6db28493b1f34a0a5b 修补。
    (CVE-2026-33948)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

检测

Linux Distros 未修补的漏洞：CVE-2026-33948

medium Nessus 插件 ID 306406

版本 1.3