Linux Distros 未修补的漏洞:CVE-2026-42501
medium Nessus 插件 ID 313248
语言:
简介
Linux/Unix 主机上安装的一个或多个程序包存在漏洞,但供应商表示不会修补此漏洞。描述
Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响,而供应商没有提供补丁程序。- 恶意模块代理可利用 go 命令的模块校验和验证中的缺陷绕过校验和数据库验证。此漏洞会影响使用不受信任模块代理 (GOMODPROXY) 或校验和数据库 (GOSUMDB) 的任何用户。恶意模块代理可提供 Go 工具链的修改版本。当选择的 Go 工具链版本与当前安装的工具链不同时(由于 GOTOOLCHAIN 环境变量,或带有工具链行的 go.work 或 go.mod),go 命令将下载并执行模块代理提供的工具链。恶意模块代理可绕过此下载工具链的校验和数据库验证。由于此漏洞影响工具链下载的安全性,将 GOTOOLCHAIN 设置为修复版本是不够的。您必须升级基础 Go 工具链。go 工具始终在执行工具链哈希之前对其进行验证,因此修复版本将拒绝执行工具链的任何缓存、修改后的版本。go 工具信任 go.sum 文件,其中包含当前模块依赖项的准确哈希。恶意代理若恶意代理恶意利用此漏洞为修改的模块提供服务,则会导致在 go.sum 中记录错误的哈希。配置了不受信任的 GOPROXY 的用户可确定其是否因运行 rm go.sum 而受到影响;去 mod tidy ;go mod verify,这将重新验证当前模块的所有依存关系。具体缺陷更详细地说明:go.sum 文件中未列出模块时,go 命令会查阅校验和数据库以验证下载的模块。它验证校验和数据库报告的模块哈希是否与下载的模块的哈希匹配。但是,如果校验和数据库返回不包含模块条目的成功响应,则 go 命令会错误地允许验证成功。模块代理可镜像或代理校验和数据库,在这种情况下,go 命令将不会直接连接到校验和数据库。校验和数据库报告的校验和经过加密签名,因此恶意代理无法更改模块报告的校验和。但是,返回空校验和响应或不相关模块的校验和响应的代理可造成 go 命令继续执行,就像下载的模块已经过验证一样。
(CVE-2026-42501)
请注意,Nessus 依赖供应商报告的程序包是否存在进行判断。
解决方案
目前尚未有任何已知的解决方案。另见
插件详情
严重性: Medium
ID: 313248
文件名: unpatched_CVE_2026_42501.nasl
版本: 1.1
类型: Local
代理: unix
系列: Misc.
发布时间: 2026/5/8
最近更新时间: 2026/5/8
支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus
风险信息
VPR
风险因素: High
分数: 8.0
CVSS v2
风险因素: Medium
基本分数: 6.8
时间分数: 5.8
矢量: CVSS2#AV:N/AC:H/Au:S/C:C/I:P/A:C
CVSS 分数来源: CVE-2026-42501
CVSS v3
风险因素: Medium
基本分数: 6.2
时间分数: 5.7
矢量: CVSS:3.0/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:L
时间矢量: CVSS:3.0/E:U/RL:U/RC:C
漏洞信息
CPE: cpe:/o:debian:debian_linux:11.0, p-cpe:/a:debian:debian_linux:golang-1.26, p-cpe:/a:debian:debian_linux:golang-1.15, p-cpe:/a:debian:debian_linux:golang-1.25, cpe:/o:debian:debian_linux:14.0, p-cpe:/a:debian:debian_linux:golang-1.19, p-cpe:/a:debian:debian_linux:golang-1.24, cpe:/o:debian:debian_linux:12.0, cpe:/o:debian:debian_linux:13.0
必需的 KB 项: Host/cpu, Host/local_checks_enabled, global_settings/vendor_unpatched, Host/OS/identifier
易利用性: No known exploits are available
漏洞发布日期: 2026/5/7
参考资料信息
CVE: CVE-2026-42501