Amazon Linux 2 : docker, --advisory ALAS2DOCKER-2026-129 (ALASDOCKER-2026-129)

critical Nessus 插件 ID 320891

语言：

简介

远程 Amazon Linux 2 主机缺少安全更新。

描述

远程主机上安装的 docker 版本低于 25.0.16-1。因此，该软件受到 ALAS2DOCKER-2026-129 公告中提及的多个漏洞影响。

解析任意 HTML 会消耗过多 CPU 时间，从而可能导致拒绝服务。
(CVE-2026-25680)

解析然后使用 Render 进行渲染的任意 HTML 可导致非预期的 HTML 树。可利用此问题在尝试在渲染之前审查输入 HTML 的应用程序中执行 XSS 攻击。
(CVE-2026-25681)

解析然后使用 Render 进行渲染的任意 HTML 可导致非预期的 HTML 树。可利用此问题在尝试在渲染之前审查输入 HTML 的应用程序中执行 XSS 攻击。
(CVE-2026-27136)

ToASCII 和 ToUnicode 函数未正确接受解码为仅 ASCII 标签的 Punycode 编码标签。例如，ToUnicode（xn--example-.com）错误地返回名称 example.com 而不是错误。此行为可导致使用 idna 程序包的程序中的权限升级。例如，对 ASCII 主机名执行权限检查的程序可能拒绝 example.com 但允许 xn--example-.com。如果该程序随后将 ASCII 主机名转换为 Unicode，它将无意中允许访问该 Unicode 名称 example.com。（CVE-2026-39821）

解析然后使用 Render 进行渲染的任意 HTML 可导致非预期的 HTML 树。可利用此问题在尝试在渲染之前审查输入 HTML 的应用程序中执行 XSS 攻击。
(CVE-2026-42502)

解析然后使用 Render 进行渲染的任意 HTML 可导致非预期的 HTML 树。可利用此问题在尝试在渲染之前审查输入 HTML 的应用程序中执行 XSS 攻击。
(CVE-2026-42506)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。