Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - Perl 的 Plack::Middleware::XSendfile 1.0053 及之前版本允许重写由客户端控制的路径。
    如果未在中间件构造函数或 Plack 环境中考虑变体设置（sendfile 类型），Plack::Middleware::XSendfile 将允许客户端通过 X-Sendfile-Type 标头对其进行设置。恶意客户端可将 X-Sendfile-Type 标头设置为 X-Accel-Redirect，以重定向在 nginx 反向代理后方运行的服务，然后设置 X-Accel-Mapping 以将路径映射到服务器上的任意文件。
    自 1.0053 起，Plack::Middleware::XSendfile 已弃用，并将从 Plack 的未来版本中移除。此问题与 Rack::Sendfile 的 CVE-2025-61780 类似，但 Plack::Middleware::XSendfile 具有部分缓解措施，这些措施不允许在映射中使用正则表达式，并且只会针对 X-Accel-Redirect 类型映射应用映射。(CVE-2026-7381)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

检测

Linux Distros 未修补的漏洞：CVE-2026-7381

critical Nessus 插件 ID 311258

版本 1.2