AlmaLinux 9 : nodejs:24 (ALSA-2026:35891)

medium Nessus 插件 ID 325495

简介

远程 AlmaLinux 主机缺少一个或多个安全更新。

描述

远程 AlmaLinux 9 主机上安装的程序包受到 ALSA-2026:35891 公告中提及的多个漏洞的影响。

* ip-address:ip-address:通过对不受信任的输入进行不当 HTML 转义造成跨站脚本 (CVE-2026-42338)
* undici:undici:通过 WebSocket 帧造成的无限制内存增长导致拒绝服务 (CVE-2026-12151)
* undici:Undici:未正确解析缓存控制标头导致信息泄露 (CVE-2026-9678)
* undici:Undici:在重用的保持活动套接字上的响应队列中毒可导致错误的响应传递。(CVE-2026-6733)
* undici:undici:错误解析 Set-Cookie 标头导致 cookie SameSite 策略变弱 (CVE-2026-11525)
* undici:undici:通过忽略的 TLS 选项和 SOCKS5 代理进行中间人攻击 (CVE-2026-9697)
* undici:undici:Socks5ProxyAgent 连接路由不正确导致信息泄露和数据完整性问题 (CVE-2026-6734)
* nodejs:Node.js:通过无限 HTTP/2 ORIGIN 帧造成拒绝服务 (CVE-2026-48619)
* nodejs:Node.js:由于 TLS 处理中的 embedded-nul 主机名导致静默颁发机构重新绑定 (CVE-2026-48930)
* nodejs:Node.js:未经授权的文件元数据修改 (CVE-2026-48935)
* nodejs:Node.js WebCrypto:通过对 subtle.encrypt() 的大量输入造成拒绝服务 (CVE-2026-48933)
* nodejs:Node.js:TLS 主机验证中的证书验证绕过 (CVE-2026-48934)
* Node.js:Node.js:主机名匹配不一致导致信任策略绕过 (CVE-2026-48928)
* nodejs:Node.js:通过代理隧道错误处理泄露代理凭据信息 (CVE-2026-48615)
* nodejs:Node.js:TLS 主机名处理和 unicode 点分隔符不匹配导致身份验证绕过 (CVE-2026-48618)


错误修复和增强功能:

* nodejs:24/nodejs:衍合到最新的 Node.js 24 版本 [almalinux-9.8.z](JIRA:AlmaLinux-186580)

Tenable 已直接从 AlmaLinux 安全公告中提取上述描述块。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

https://access.redhat.com/errata/RHSA-2026:35891

https://errata.almalinux.org/9/ALSA-2026-35891.html

插件详情

严重性: Medium

ID: 325495

文件名: alma_linux_ALSA-2026-35891.nasl

版本: 1.1

类型: Local

发布时间: 2026/7/7

最近更新时间: 2026/7/7

支持的传感器: Continuous Assessment, Nessus Agent, Tenable Cloud Security, Tenable Self-Hosted Container Security, Nessus

风险信息

VPR

风险因素: High

分数: 7.6

百分位: 98.47

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 7.8

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2026-48930

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 8.8

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

CVSS v4

风险因素: Medium

Base Score: 5.3

Threat Score: 2.1

Threat Vector: CVSS:4.0/E:P

Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N

CVSS 分数来源: CVE-2026-42338

漏洞信息

CPE: cpe:/o:alma:linux:9::appstream, p-cpe:/a:alma:linux:v8-13.6-devel, p-cpe:/a:alma:linux:nodejs-nodemon, p-cpe:/a:alma:linux:npm, p-cpe:/a:alma:linux:nodejs-full-i18n, p-cpe:/a:alma:linux:nodejs-packaging-bundler, cpe:/o:alma:linux:9::supplementary, p-cpe:/a:alma:linux:nodejs-packaging, cpe:/o:alma:linux:9::highavailability, cpe:/o:alma:linux:9::resilientstorage, cpe:/o:alma:linux:9::sap_hana, p-cpe:/a:alma:linux:nodejs-docs, cpe:/o:alma:linux:9::sap, cpe:/o:alma:linux:9::crb, p-cpe:/a:alma:linux:nodejs, p-cpe:/a:alma:linux:nodejs-libs, cpe:/o:alma:linux:9::realtime, cpe:/o:alma:linux:9, p-cpe:/a:alma:linux:nodejs-devel, cpe:/o:alma:linux:9::nfv, cpe:/o:alma:linux:9::baseos

必需的 KB 项: Host/local_checks_enabled, Host/AlmaLinux/release, Host/AlmaLinux/rpm-list, Host/cpu

可利用: true

易利用性: Exploits are available

补丁发布日期: 2026/7/6

漏洞发布日期: 2026/5/5

参考资料信息

CVE: CVE-2026-11525, CVE-2026-12151, CVE-2026-42338, CVE-2026-48615, CVE-2026-48618, CVE-2026-48619, CVE-2026-48928, CVE-2026-48930, CVE-2026-48933, CVE-2026-48934, CVE-2026-48935, CVE-2026-6733, CVE-2026-6734, CVE-2026-9678, CVE-2026-9697

CWE: 1286, 170, 209, 279, 289, 295, 770, 79, 940

RHSA: 2026:35891