Linux Distros 未修补的漏洞:CVE-2026-54786

low Nessus 插件 ID 324892

简介

Linux/Unix 主机上安装的一个或多个程序包存在漏洞,但供应商表示不会修补此漏洞。

描述

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响,而供应商没有提供补丁程序。

- Wasmtime 是 WebAssembly 的运行时。之前24.0.10的所有版本;之前的版本;36.0.11之前的版本25.0.037.0.0;44.0.3以及包含 45.0.045.0.1 WASIp1 的本机实现的 WASIp1 本机实现,该实现受到 fd_renumber 函数中的一个泄漏的影响,即未正确关闭重新编号的文件描述符。Wasmtime 的实现错误地仅更新了 WASIp1 的描述符表,而没有更新主机使用的底层描述符表。此行为意味着,尽管从客户机的角度来看fd_renumber正常工作,但最终会泄漏主机中的资源,这些资源在相应的存储被销毁之前不会被清理。在循环中,客户机可利用fd_renumber漏洞导致主机耗尽资源和文件描述符。此缺陷仅影响 WASIp1 的本机实现,这意味着只有加载核心 wasm 模块并暴露fd_renumber的运行时受到影响。此外,仅当运行时暴露获取文件描述符(例如打开文件)的能力时,运行时才会受到影响。对于拒绝访问文件的运行时,它们不受影响。已在版本 24.0.10、 和 36.0.1144.0.345.0.2中修复此问题。(CVE-2026-54786)

请注意,Nessus 依赖供应商报告的程序包是否存在进行判断。

解决方案

目前尚未有任何已知的解决方案。

另见

https://access.redhat.com/security/cve/cve-2026-54786

https://security-tracker.debian.org/tracker/CVE-2026-54786

https://ubuntu.com/security/CVE-2026-54786

插件详情

严重性: Low

ID: 324892

文件名: unpatched_CVE_2026_54786.nasl

版本: 1.5

类型: Local

代理: unix

系列: Misc.

发布时间: 2026/7/2

最近更新时间: 2026/7/9

支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Tenable Cloud Security, Tenable Self-Hosted Container Security, Nessus

风险信息

VPR

风险因素: Low

分数: 1.2

百分位: 0.01

CVSS v2

风险因素: Medium

基本分数: 4

时间分数: 3.4

矢量: CVSS2#AV:N/AC:L/Au:S/C:N/I:N/A:P

CVSS 分数来源: CVE-2026-54786

CVSS v3

风险因素: Medium

基本分数: 5

时间分数: 4.6

矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:L

时间矢量: CVSS:3.0/E:U/RL:U/RC:C

CVSS v4

风险因素: Low

Base Score: 2.3

Threat Score: 0.6

Threat Vector: CVSS:4.0/E:U

Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:L

漏洞信息

CPE: cpe:/o:canonical:ubuntu_linux:24.04:-:lts, cpe:/o:debian:debian_linux:13.0, cpe:/o:redhat:enterprise_linux:10, p-cpe:/a:debian:debian_linux:rust-wasmtime, p-cpe:/a:canonical:ubuntu_linux:rust-wasmtime, cpe:/o:canonical:ubuntu_linux:25.10, p-cpe:/a:redhat:enterprise_linux:virt-firmware-rs, cpe:/o:canonical:ubuntu_linux:26.04:-:lts

必需的 KB 项: Host/cpu, Host/local_checks_enabled, global_settings/vendor_unpatched, Host/OS/identifier

易利用性: No known exploits are available

漏洞发布日期: 2026/7/1

参考资料信息

CVE: CVE-2026-54786