Linux Distros 未修补的漏洞:CVE-2026-54056

high Nessus 插件 ID 320972

简介

Linux/Unix 主机上安装的一个或多个程序包存在漏洞,但供应商表示不会修补此漏洞。

描述

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响,而供应商没有提供补丁程序。

- Kitty 是基于 GPU 的跨平台终端。在版本 0.47.0 和 中 0.47.1,“kitten dnd”可允许恶意远程拖放源覆盖或截断本地 kitty 用户可写入的任意文件。远程“text/uri-list”丢弃会暂存于一个临时目录中,但是在区分大小写的文件系统中,重复的远程基名并未去重。攻击者可先创建阶段性符号链接,然后发送同名的常规文件条目。常规文件写入使用“utils.CreateAt()' / 'openat(O_RDWR|O_CREAT|O_TRUNC)' 而不含“O_NOFOLLOW”,因此它跟随攻击者创建的符号链接并在最终覆盖确认运行之前在暂存目录外写入。在类别中,这似乎与文件传输符号链接公告相关,但它是不同的缺陷:它影响“kitten dnd”远程拖放暂存,使用不同的易受攻击的代码(“kittens/dnd/drop.go”和“tools/utils/file_at_fd.go”),并在文件传输“O_NOFOLLOW”修复后的提交时重现“4aa4a5c0567a92553a8c20a88a4352da637fca5d”。版本 0.47.2 针对此问题提供了补丁。(CVE-2026-54056)

请注意,Nessus 依赖供应商报告的程序包是否存在进行判断。

解决方案

目前尚未有任何已知的解决方案。

另见

https://security-tracker.debian.org/tracker/CVE-2026-54056

https://ubuntu.com/security/CVE-2026-54056

插件详情

严重性: High

ID: 320972

文件名: unpatched_CVE_2026_54056.nasl

版本: 1.5

类型: Local

代理: unix

系列: Misc.

发布时间: 2026/6/13

最近更新时间: 2026/6/20

支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.0

CVSS v2

风险因素: High

基本分数: 8.5

时间分数: 7.7

矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:C/A:P

CVSS 分数来源: CVE-2026-54056

CVSS v3

风险因素: High

基本分数: 7.1

时间分数: 6.7

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:L

时间矢量: CVSS:3.0/E:P/RL:U/RC:C

漏洞信息

CPE: cpe:/o:debian:debian_linux:11.0, cpe:/o:canonical:ubuntu_linux:20.04:-:lts, cpe:/o:canonical:ubuntu_linux:25.10, p-cpe:/a:debian:debian_linux:kitty, cpe:/o:canonical:ubuntu_linux:24.04:-:lts, p-cpe:/a:canonical:ubuntu_linux:kitty, cpe:/o:debian:debian_linux:13.0, cpe:/o:canonical:ubuntu_linux:22.04:-:lts, cpe:/o:debian:debian_linux:12.0, cpe:/o:canonical:ubuntu_linux:26.04:-:lts

必需的 KB 项: Host/cpu, Host/local_checks_enabled, global_settings/vendor_unpatched, Host/OS/identifier

可利用: true

易利用性: Exploits are available

漏洞发布日期: 2026/6/12

参考资料信息

CVE: CVE-2026-54056