Linux Distros 未修补的漏洞:CVE-2026-48685
medium Nessus 插件 ID 317220
语言:
简介
Linux/Unix 主机上安装的一个或多个程序包存在漏洞,但供应商表示不会修补此漏洞。描述
Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响,而供应商没有提供补丁程序。- FastNetMon Community Edition through 1.2.9 存在越界内存访问权限,因为它未正确解析设置了扩展长度标记的 BGP 路径属性。在 src/bgp_protocol.hpp 中,parse_raw_bgp_attribute() 函数可正确识别何时设置 extended_length_bit 并将 length_of_length_field 设为 2,但随后仅读取属性值长度的单个字节(第 173 行的 attribute_value_length = value[2])。根据 RFC 4271 部分 4.3,当设置扩展长度位时,属性长度字段为两个八进制数,该值应从 value[2] 和 value[3] 读取为 16 位大端整数。因此,任何长度超过 255 字节的属性都会静默截断为低位字节(例如,300 字节 = 0x012C 会读取为 0x2C = 44 字节)。剩余的 256 字节随后会被错解释为后续属性,从而导致级联解析失败和潜在的越界内存访问。(CVE-2026-48685)
请注意,Nessus 依赖供应商报告的程序包是否存在进行判断。
解决方案
目前尚未有任何已知的解决方案。另见
插件详情
严重性: Medium
ID: 317220
文件名: unpatched_CVE_2026_48685.nasl
版本: 1.1
类型: Local
代理: unix
系列: Misc.
发布时间: 2026/5/27
最近更新时间: 2026/5/27
支持的传感器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 4.4
CVSS v3
风险因素: Medium
基本分数: 6.5
时间分数: 6
矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
时间矢量: CVSS:3.0/E:U/RL:U/RC:C
CVSS 分数来源: CVE-2026-48685
漏洞信息
CPE: cpe:/o:debian:debian_linux:14.0, p-cpe:/a:debian:debian_linux:fastnetmon, cpe:/o:debian:debian_linux:13.0, cpe:/o:debian:debian_linux:12.0
必需的 KB 项: Host/local_checks_enabled, Host/cpu, global_settings/vendor_unpatched, Host/OS/identifier
易利用性: No known exploits are available
漏洞发布日期: 2026/5/26
参考资料信息
CVE: CVE-2026-48685